jos*_*ing 8 ssl-certificate csr private-key
我读了:
默认情况下,OpenSSL 加密工具配置为生成 SHA1 签名。例如,如果要生成 SHA256 签名的证书请求 (CSR),请在命令行中添加:-sha256
我需要将现有的 SHA1 证书升级到 SHA256。在意识到我没有-sha256在 CSR 中指定之前,我生成了一个新的 CSR 并将其发送到 RapidSSL 。
我已经联系过他们,他们说“已经更换了 Sha2 证书,订单的当前状态正在等待批准。订单获得批准后,将使用 SHA2 算法颁发新证书。”
我的问题是,他们是否有可能获得我的 SHA1 CSR 并说“好吧,无论如何我们都会给你一个 SHA256 证书,因为这就是我们现在所做的一切”?该证书是否可以与我生成的与该 SHA1 CSR 相对应的私钥一起使用?
它是如何工作的?当我在-sha256生成 CSR 时传入(或不传入)时,除了只是在 CSR 中记下“嘿,这个人想要对他们的证书进行 SHA256 加密”之外,这会产生什么影响?它是否以任何方式影响生成的私钥?
这是可能的,因为 CSR 的签名仅用于证明您确实是与嵌入在 CSR 中的公钥匹配的私钥的所有者。一旦 CA(在您的情况下为 RapidSSL)确定 CSR 有效,它的签名对于创建证书的进一步过程就变得毫无意义,并被有效地丢弃。
有关证书内容的完整详细信息,请参阅rfc5280-4.1.2