У меня есть рутка, использующий алгоритм SHA-1. Можно ли сгенерировать subca или подписать любой csr с помощью SHA-2. Переход с SHA-1 на SHA-2 невозможен. Я хочу иметь сертификат с SHA-2 с его эмитентом, использующим SHA-1. Есть ли какая-либо ссылка, чтобы получить более четкое представление по соответствующей теме.
Можно ли сгенерировать subca или подписать любой csr с помощью SHA-2, когда эмитент использует SHA-1
Ответы (1)
Это возможно - для каждого сертификата в цепочке может использоваться свой алгоритм подписи.
RFC 5280 раздел 6.1.4 - Подготовка сертификата i + 1 описывает соответствующая часть алгоритма проверки пути сертификации. В частности, обратите внимание:
(f) Assign the certificate subjectPublicKey algorithm to the
working_public_key_algorithm variable.
Это указывает на то, что каждый сертификат может использовать различный тип открытого ключа, что строго подразумевает, что каждый сертификат может быть сертифицирован с использованием другого алгоритма подписи. Более того, в RFC 5280 нет утверждения о том, что подписи в пути сертификата, использующие один и тот же тип открытого ключа, должны использовать один и тот же алгоритм подписи.
person
frasertweedale
schedule
17.09.2015
Большое спасибо за такой исчерпывающий ответ. Это очень информативно
- person Saikat; 17.09.2015
