Могу ли я получить сертификат anSHA-256, когда CSR для SHA-1?

Я прочел:

По умолчанию криптографические инструменты OpenSSL настроены на создание подписей SHA1. например, если вы хотите сгенерировать подписанный SHA256 запрос сертификата (CSR), добавьте в командной строке: -sha256

Мне было необходимо обновить существующий сертификат SHA1 до SHA256. Я сгенерировал новый CSR и отправил его в RapidSSL, прежде чем понял, что не указал -sha256в CSR.

Я связался с ними, и они говорят: «Произведена замена сертификата Sha2, и текущее состояние заказа ожидает утверждения. После утверждения заказа будет выдан новый сертификат с алгоритмом SHA2».

У меня вопрос, могут ли они получить мой CSR SHA1 и сказать: «Хорошо, мы все равно дадим вам сертификат SHA256, потому что это все, что мы делаем сейчас»? И будет ли этот сертификат работать с сгенерированным мною закрытым ключом, соответствующим этому SHR1 CSR?

Как это работает? Когда я передаю -sha256(или когда не делаю) во время генерации CSR, что это влияет, кроме того, что я делаю заметку в CSR, говорящую «эй, этот человек хочет шифрование SHA256 в своем сертификате»? Влияет ли это на сгенерированный закрытый ключ?

Это возможно, потому что подпись CSR используется только для доказательства того, что вы действительно являетесь владельцем закрытого ключа, который совпадает с открытым ключом, встроенным в CSR. Как только CA (RapidSSL в вашем случае) решает, что CSR действителен, его подпись теряет смысл для дальнейшего процесса создания сертификата и фактически отбрасывается.

Для получения полной информации о том, что в сертификате см. Rfc5280-4.1.2