1
我有一个使用SHA-1算法的rootca。是否可以生成一个subca或用SHA-2签署任何csr。从SHA-1迁移到SHA-2不是一种选择。我想要使用SHA-1与发行者签署SHA-2证书。如果有任何链接可以在相关主题上有更清晰的图片。当发行者正在使用SHA-1时,是否可以生成一个subca或用SHA-2签署任何csr
我有一个使用SHA-1算法的rootca。是否可以生成一个subca或用SHA-2签署任何csr。从SHA-1迁移到SHA-2不是一种选择。我想要使用SHA-1与发行者签署SHA-2证书。如果有任何链接可以在相关主题上有更清晰的图片。当发行者正在使用SHA-1时,是否可以生成一个subca或用SHA-2签署任何csr
这是可能的 - 一个不同的签名算法可以用于链中的每个证书。
RFC 5280 section 6.1.4 - Preparation for Certificate i+1描述了认证路径验证算法的相关部分。特别要注意:
(f) Assign the certificate subjectPublicKey algorithm to the
working_public_key_algorithm variable.
这表示每个证书可以使用不同类型的公共密钥,这stronly意味着每个证书可以使用不同的签名算法进行认证的。此外,RFC 5280中没有声明使用相同公钥类型的证书路径中的签名必须使用相同的签名算法。
非常感谢这么一个完整的答案。这是非常丰富的 – Saikat