Могу ли я получить сертификат anSHA-256, когда CSR для SHA-1?

8

Я прочел:

По умолчанию криптографические инструменты OpenSSL настроены на создание подписей SHA1. например, если вы хотите сгенерировать подписанный SHA256 запрос сертификата (CSR), добавьте в командной строке: -sha256

Мне было необходимо обновить существующий сертификат SHA1 до SHA256. Я сгенерировал новый CSR и отправил его в RapidSSL, прежде чем понял, что не указал -sha256в CSR.

Я связался с ними, и они говорят: «Произведена замена сертификата Sha2, и текущее состояние заказа ожидает утверждения. После утверждения заказа будет выдан новый сертификат с алгоритмом SHA2».

У меня вопрос, могут ли они получить мой CSR SHA1 и сказать: «Хорошо, мы все равно дадим вам сертификат SHA256, потому что это все, что мы делаем сейчас»? И будет ли этот сертификат работать с сгенерированным мною закрытым ключом, соответствующим этому SHR1 CSR?

Как это работает? Когда я передаю -sha256(или когда не делаю) во время генерации CSR, что это влияет, кроме того, что я делаю заметку в CSR, говорящую «эй, этот человек хочет шифрование SHA256 в своем сертификате»? Влияет ли это на сгенерированный закрытый ключ?

joshua.paling
источник

Ответы:

5

Это возможно, потому что подпись CSR используется только для доказательства того, что вы действительно являетесь владельцем закрытого ключа, который совпадает с открытым ключом, встроенным в CSR. Как только CA (RapidSSL в вашем случае) решает, что CSR действителен, его подпись теряет смысл для дальнейшего процесса создания сертификата и фактически отбрасывается.

Для получения полной информации о том, что в сертификате см. Rfc5280-4.1.2

Эрик Данненберг
источник
Это означает, что только SHA256 шифрует только сам сертификат. Закрытый ключ (и его открытый аналог, встроенный в CSR) не имеет ничего общего с SHA256. Правильный?
joshua.paling
1
@ joshua.paling SHA - это безопасный алгоритм хеширования, он используется только для подписи таких вещей, как CSR или сертификат, встроенный открытый ключ будет использоваться для шифрования позже, сам сертификат не зашифрован.
Эрик Данненберг