J'ai une racine avec l'algorithme SHA-1. Est-il possible de générer un sous-groupe ou de signer un CSR avec SHA-2? Migrer de SHA-1 à SHA-2 n'est pas une option. Je veux avoir cerificate avec SHA-2 avec son émetteur en utilisant SHA-1. Y at-il un lien pour avoir une image plus claire sur le sujet connexe.Est-il possible de générer un sous-groupe ou de signer un fichier CSR avec SHA-2 lorsque l'émetteur utilise SHA-1?
1
A
Répondre
0
Ceci est possible - un algorithme de signature différent peut être utilisé pour chaque certificat dans une chaîne.
RFC 5280 section 6.1.4 - Preparation for Certificate i+1 décrit la partie pertinente de l'algorithme de validation du chemin de certification. En particulier, note:
(f) Assign the certificate subjectPublicKey algorithm to the
working_public_key_algorithm variable.
Cela indique que chaque certificat peut utiliser un autre type de clé publique, ce qui implique stronly que chaque certificat peut être certifié en utilisant un algorithme de signature différente. En outre, il n'y a aucune déclaration dans la RFC 5280 selon laquelle les signatures dans un chemin de certificat utilisant le même type de clé publique doivent utiliser le même algorithme de signature.
Merci beaucoup pour une réponse aussi complète. C'est très instructif – Saikat