0

使用 OpenSSL 生成 CSR 时,您有两种选择:1) 在生成 CSR 时生成私钥 2) 使用私钥派生公钥并使用公钥创建 CSR

CSR 是否需要使用匹配的私钥签名以供 CA 验证?

假设,如果我有两个密钥对(PubKey1、PrivKey1、PubKey2、PrivKey2)。我要做的第一件事是将 PrivKey1 移动到另一个地方。有没有办法可以使用 PubKey1 来制作 CSR(无法访问 PrivKey1),但使用 PrivKey2 对其进行签名以保持完整性?

有人可以解释为什么这种情况不适用于 CA 吗?

我一直在谷歌搜索一堆,可用的文档没有详细说明私钥在创建 CSR 中的作用。

4

1 回答 1

1

CSR 是否需要使用匹配的私钥签名以供 CA 验证?

是的。PKCS #10 证书请求始终使用与公钥匹配的私钥进行签名。

有没有办法可以使用 PubKey1 来制作 CSR(无法访问 PrivKey1),但使用 PrivKey2 对其进行签名以保持完整性?

不可以。私钥签署 CSR 的原因是向 CA 证明您拥有与公钥对应的私钥的所有权。如果您使用不同的私钥签名,CA 将拒绝您的请求无效。

于 2013-03-05T08:15:33.020 回答