CSR是否需要使用匹配的私钥进行签名？

Question

当生成使用OpenSSL一个CSR，你有两种选择： 1）生成时，CSR产生 2）使用私有密钥来导出公钥和使用公钥创建CSR

一个私钥CSR是否需要使用匹配的私钥对CA进行签名以验证它？

假设，如果我有两个密钥对（PubKey1，PrivKey1，PubKey2，PrivKey2）会怎么样。我做的第一件事是将PrivKey1移到另一个地方。有没有一种方法可以使用PubKey1来制作CSR（无需访问PrivKey1），但是可以使用PrivKey2对其进行签名以保持完整性？

有人可以解释为什么这种情况不适用于CA？

我一直在使用googling，可用的文档没有详细说明私钥在CSR创建中的作用。

Answer 1

CSR是否需要用CA的匹配私钥进行签名才能验证它？

是的。 PKCS  ＃10证书请求始终使用与公钥匹配的私钥进行签名。

有没有一种方法可以使用PubKey1来制作CSR（不需要访问PrivKey1），但用PrivKey2签名以保持完整性？

不是。私钥签署CSR的原因是向CA证明您拥有与公钥对应的私钥。如果您使用不同的私钥签名，CA将拒绝您的请求为无效。