當 CSR 用於 SHA-1 時，我可以獲得 SHA-256 證書嗎？

我讀了：

預設情況下，OpenSSL 加密工具配置為生成 SHA1 簽名。例如，如果要生成 SHA256 簽名的證書請求 (CSR)，請在命令行中添加：-sha256

我需要將現有的 SHA1 證書升級到 SHA256。我生成了一個新的 CSR 並將其發送到 RapidSSL，然後才意識到我沒有-sha256在 CSR 中指定。

我已經聯繫了他們，他們說*“已經更換了 Sha2 證書，訂單的目前狀態正在等待批准。一旦訂單獲得批准，將使用 SHA2 算法頒發新證書。”*

我的問題是，他們是否有可能獲得我的 SHA1 CSR 並說“好的，我們無論如何都會給你一個 SHA256 證書，因為這就是我們現在所做的一切”？該證書是否可以與我生成的與該 SHA1 CSR 對應的私鑰一起使用？

它是如何工作的？當我在生成 CSR 時傳入-sha256（或未傳入）時，除了在 CSR 中記下“嘿，此人希望在其證書上進行 SHA256 加密”之外，這會產生什麼影響？它會以任何方式影響生成的私鑰嗎？

這是可能的，因為 CSR 的簽名僅用於證明您確實是與嵌入在 CSR 中的公鑰匹配的私鑰的所有者。一旦 CA（在您的情況下為 RapidSSL）確定 CSR 有效，它的簽名對於創建證書的進一步過程變得毫無意義並被有效地丟棄。

有關證書內容的完整詳細資訊，請參閱rfc5280-4.1.2

引用自：https://serverfault.com/questions/747233