나는 읽었다 :
기본적으로 OpenSSL 암호화 도구는 SHA1 서명을 만들도록 구성되어 있습니다. 예를 들어 SHA256 서명 인증서 요청 (CSR)을 생성하려면 명령 행에 -sha256을 추가하십시오.
기존 SHA1 인증서를 SHA256으로 업그레이드해야했습니다. CSR에 지정되지 않았다는 것을 깨닫기 전에 새 CSR을 생성하여 RapidSSL로 전송했습니다 -sha256
.
연락을했으며 “Sha2 인증서를 교체했으며 현재 주문 상태가 승인 대기 중입니다. 주문이 승인되면 SHA2 알고리즘으로 새 인증서가 발급됩니다.”
내 질문은, 그들이 내 SHA1 CSR을받을 수 있고 “좋아, 우리가 지금하는 전부이기 때문에 어쨌든 SHA256 인증서를 돌려주고있다”고 말할 수 있습니까? 그리고 해당 인증서가 해당 SHA1 CSR에 따라 생성 한 개인 키와 함께 작동합니까?
어떻게 작동합니까? -sha256
CSR을 생성 할 때 통과 할 때 (또는 그렇지 않은 경우) CSR에서 “이봐 요,이 사람은 인증서에 SHA256 암호화를 원합니다”라고 메모하는 것 외에 어떤 영향을 미칩니 까? 어떤 식 으로든 생성 된 개인 키에 영향을 줍니까?
답변
CSR의 서명은 CSR에 포함 된 공개 키와 일치하는 개인 키의 소유자임을 증명하는 데만 사용되기 때문에 가능합니다. CA (귀하의 경우 RapidSSL)가 CSR이 유효하다고 결정하면 인증서를 작성하는 추가 프로세스에서 서명이 의미가 없어지고 효과적으로 폐기됩니다.
인증서의 내용에 대한 자세한 내용은 rfc5280-4.1.2를 참조하십시오 .