Можно ли создать субка или подписать любой CSR с SHA-2, когда эмитент использует SHA-1

Question

Можно ли создать субка или подписать любой CSR с SHA-2, когда эмитент использует SHA-1

У меня есть рутка, использующая алгоритм SHA-1. Можно ли создать субка или подписать любой CSR с SHA-2. Переход с SHA-1 на SHA-2 не возможен. Я хочу провести сертификацию с SHA-2 с его эмитентом, использующим SHA-1. Есть ли какая-либо ссылка, чтобы иметь более четкую картину по соответствующей теме.

1

algorithm sha1 pki csr sha2

Источник

user4452499 16 сен '15 в 15:47

1 ответ

Решение

Другие вопросы по тегам algorithm sha1 pki csr sha2

user4148211 17 сен '15 в 02:32 2015-09-17 02:32 · Accepted Answer · 2015-09-17 02:32

Это возможно - для каждого сертификата в цепочке можно использовать другой алгоритм подписи.

В разделе 6.1.4 RFC 5280 "Подготовка к сертификату i+1" описана соответствующая часть алгоритма проверки пути сертификации. В частности, обратите внимание:

 (f)  Assign the certificate subjectPublicKey algorithm to the
       working_public_key_algorithm variable.

Это указывает на то, что каждый сертификат может использовать открытый тип различного ключа, что явно означает, что каждый сертификат может быть сертифицирован с использованием другого алгоритма подписи. Кроме того, в RFC 5280 нет заявления о том, что подписи в пути сертификата, использующие один и тот же тип открытого ключа, должны использовать один и тот же алгоритм подписи.