当发行人使用 SHA-1 时,是否可以生成 subca 或使用 SHA-2 签署任何 csr
Is it possible to generate a subca or sign any csr with SHA-2 when the issuer is using SHA-1
我有一个使用 SHA-1 算法的 rootca。是否可以生成 subca 或使用 SHA-2 签署任何 csr。从 SHA-1 迁移到 SHA-2 不是一种选择。我想使用 SHA-1.Is 与 SHA-2 的发行者一起获得证书,那里有任何 link 可以更清楚地了解相关主题。
这是可能的 - 链中的每个证书都可以使用不同的签名算法。
RFC 5280 section 6.1.4 - Preparation for Certificate i+1 描述了认证路径验证算法的相关部分。特别注意:
(f) Assign the certificate subjectPublicKey algorithm to the
working_public_key_algorithm variable.
这表示每个证书可能使用不同类型的public密钥,这仅意味着每个证书可能使用不同的签名算法进行认证。此外,RFC 5280 中没有声明使用相同 public 密钥类型的证书路径中的签名必须使用相同的签名算法。
我有一个使用 SHA-1 算法的 rootca。是否可以生成 subca 或使用 SHA-2 签署任何 csr。从 SHA-1 迁移到 SHA-2 不是一种选择。我想使用 SHA-1.Is 与 SHA-2 的发行者一起获得证书,那里有任何 link 可以更清楚地了解相关主题。
这是可能的 - 链中的每个证书都可以使用不同的签名算法。
RFC 5280 section 6.1.4 - Preparation for Certificate i+1 描述了认证路径验证算法的相关部分。特别注意:
(f) Assign the certificate subjectPublicKey algorithm to the
working_public_key_algorithm variable.
这表示每个证书可能使用不同类型的public密钥,这仅意味着每个证书可能使用不同的签名算法进行认证。此外,RFC 5280 中没有声明使用相同 public 密钥类型的证书路径中的签名必须使用相同的签名算法。