Ssl-Certificate
當 CSR 用於 SHA-1 時,我可以獲得 SHA-256 證書嗎?
我讀了:
預設情況下,OpenSSL 加密工具配置為生成 SHA1 簽名。例如,如果要生成 SHA256 簽名的證書請求 (CSR),請在命令行中添加:-sha256
我需要將現有的 SHA1 證書升級到 SHA256。我生成了一個新的 CSR 並將其發送到 RapidSSL,然後才意識到我沒有
-sha256
在 CSR 中指定。我已經聯繫了他們,他們說*“已經更換了 Sha2 證書,訂單的目前狀態正在等待批准。一旦訂單獲得批准,將使用 SHA2 算法頒發新證書。”*
我的問題是,他們是否有可能獲得我的 SHA1 CSR 並說“好的,我們無論如何都會給你一個 SHA256 證書,因為這就是我們現在所做的一切”?該證書是否可以與我生成的與該 SHA1 CSR 對應的私鑰一起使用?
它是如何工作的?當我在生成 CSR 時傳入
-sha256
(或未傳入)時,除了在 CSR 中記下“嘿,此人希望在其證書上進行 SHA256 加密”之外,這會產生什麼影響?它會以任何方式影響生成的私鑰嗎?
這是可能的,因為 CSR 的簽名僅用於證明您確實是與嵌入在 CSR 中的公鑰匹配的私鑰的所有者。一旦 CA(在您的情況下為 RapidSSL)確定 CSR 有效,它的簽名對於創建證書的進一步過程變得毫無意義並被有效地丟棄。
有關證書內容的完整詳細資訊,請參閱rfc5280-4.1.2