Tôi có thể nhận chứng chỉSS-256 khi CSR dành cho SHA-1 không?


8

Tôi đã đọc:

Theo mặc định, các công cụ mã hóa OpenSSL được cấu hình để tạo chữ ký SHA1. ví dụ: nếu bạn muốn tạo yêu cầu chứng chỉ có chữ ký SHA256 (CSR), hãy thêm vào dòng lệnh: -sha256

Tôi được yêu cầu nâng cấp chứng chỉ SHA1 hiện có lên SHA256. Tôi đã tạo một CSR mới và gửi nó đến RapidSSL, trước khi nhận ra rằng tôi đã không chỉ định -sha256trong CSR.

Tôi đã liên lạc với họ và họ nói rằng "việc thay thế cho chứng chỉ Sha2 đã được thực hiện và trạng thái hiện tại của đơn đặt hàng đang chờ phê duyệt. Một khi đơn hàng được phê duyệt, chứng chỉ mới sẽ được cấp bằng thuật toán SHA2."

Câu hỏi của tôi là, họ có thể lấy CSR SHA1 của tôi không và nói "ok, chúng tôi sẽ trả lại cho bạn chứng chỉ SHA256 vì đó là tất cả những gì chúng tôi làm bây giờ"? Và chứng chỉ đó có hoạt động với khóa riêng tôi đã tạo tương ứng với CSR SHA1 đó không?

Làm thế nào nó hoạt động? Khi tôi đăng nhập -sha256(hoặc khi tôi không) tại thời điểm tạo CSR, điều đó có ảnh hưởng gì, ngoài việc ghi chú trong CSR nói rằng "này, người này muốn mã hóa SHA256 trên chứng chỉ của họ"? Nó có ảnh hưởng đến khóa riêng được tạo theo bất kỳ cách nào không?

Câu trả lời:


5

Điều này là có thể bởi vì chữ ký của CSR chỉ được sử dụng để chứng minh rằng bạn thực sự là chủ sở hữu của khóa riêng khớp với khóa chung được nhúng trong CSR. Khi CA (RapidSSL trong trường hợp của bạn) quyết định rằng CSR hợp lệ, chữ ký của bạn sẽ trở nên vô nghĩa đối với quá trình tạo chứng chỉ tiếp theo và bị loại bỏ một cách hiệu quả.

Để biết chi tiết đầy đủ về những gì trong một chứng chỉ, xem rfc5280-4.1.2


Vì vậy, điều đó có nghĩa là chỉ có chứng chỉ được mã hóa với SHA256. Khóa riêng (và đối tác công khai được nhúng trong CSR) không liên quan gì đến SHA256. Chính xác?
joshua.paling

1
@ joshua.paling SHA là một thuật toán băm an toàn, nó chỉ được sử dụng để ký những thứ như CSR hoặc chứng chỉ, khóa công khai được nhúng sẽ được sử dụng để mã hóa sau đó, bản thân chứng chỉ không được mã hóa.
Erik Dannenberg
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.