我有一个使用 SHA-1 算法的 rootca。是否可以生成 subca 或使用 SHA-2 签署任何 csr。从 SHA-1 迁移到 SHA-2 不是一种选择。我想通过 SHA-2 与使用 SHA-1 的发行人进行认证。是否有任何链接可以更清楚地了解相关主题。
问问题
47 次
1 回答
0
这是可能的 - 可以为链中的每个证书使用不同的签名算法。
RFC 5280 第 6.1.4 节 - 证书 i+1 的准备描述了证书路径验证算法的相关部分。特别要注意:
(f) Assign the certificate subjectPublicKey algorithm to the
working_public_key_algorithm variable.
这表明每个证书可能使用不同类型的公钥,这强烈暗示每个证书可能使用不同的签名算法进行认证。此外,RFC 5280 中没有声明使用相同公钥类型的证书路径中的签名必须使用相同的签名算法。
于 2015-09-17T02:32:49.503 回答