У меня есть rootca, использующий алгоритм SHA-1. Возможно ли создать подкачку или подписать любой csr с SHA-2. Миграция с SHA-1 на SHA-2 не является вариантом. Я хочу иметь сертификацию с SHA-2 с ее эмитентом с использованием SHA-1. Там есть какая-либо ссылка, чтобы иметь более четкое изображение по соответствующей теме.Возможно ли сгенерировать подкачку или подписать любой csr с SHA-2, когда эмитент использует SHA-1
Это возможно - для каждого сертификата в цепочке может использоваться другой алгоритм подписи.
RFC 5280 section 6.1.4 - Preparation for Certificate i+1 описывает соответствующую часть алгоритма проверки пути сертификации. В частности, обратите внимание:
(f) Assign the certificate subjectPublicKey algorithm to the
working_public_key_algorithm variable.
Это указывает на то, что каждый сертификат может использовать другой тип открытого ключа, который stronly подразумевает, что каждый сертификат может быть удостоверена с использованием другого алгоритма подписи. Кроме того, в RFC 5280 не содержится заявлений о том, что подписи в пути сертификата с использованием того же типа открытого ключа должны использовать один и тот же алгоритм подписи.
Спасибо за такой полный ответ. Это очень информативно – Saikat