Bisakah saya mendapatkan sertifikat anSHA-256 ketika CSR untuk SHA-1?


8

Saya telah membaca:

Secara default, alat kriptografi OpenSSL dikonfigurasikan untuk membuat tanda tangan SHA1. misalnya, jika Anda ingin membuat permintaan sertifikat yang ditandatangani SHA256 (CSR), tambahkan baris perintah: -sha256

Saya diminta untuk meningkatkan sertifikat SHA1 yang ada ke SHA256. Saya menghasilkan CSR baru dan mengirimkannya ke RapidSSL, sebelum menyadari bahwa saya belum menentukan -sha256dalam CSR.

Saya sudah menghubungi mereka dan mereka mengatakan "pengganti untuk sertifikat Sha2 telah dibuat dan status pesanan saat ini sedang menunggu persetujuan. Setelah pesanan disetujui akan sertifikat baru dikeluarkan dengan algoritma SHA2."

Pertanyaan saya adalah, apakah mungkin bagi mereka untuk mendapatkan CSR SHA1 saya dan berkata "ok, kami memberikan Anda sertifikat SHA256 kembali karena hanya itu yang kami lakukan sekarang"? Dan akankah sertifikat itu bekerja dengan kunci pribadi yang saya hasilkan sesuai dengan CSR SHA1 itu?

Bagaimana cara kerjanya? Ketika saya lulus -sha256(atau ketika saya tidak melakukannya) pada saat menghasilkan CSR, apa pengaruhnya, selain hanya membuat catatan dalam CSR yang mengatakan "hei, orang ini ingin enkripsi SHA256 pada sertifikat mereka"? Apakah itu memengaruhi kunci pribadi yang dihasilkan dengan cara apa pun?

Jawaban:


5

Itu mungkin karena tanda tangan CSR hanya digunakan untuk membuktikan bahwa Anda memang pemilik kunci pribadi yang cocok dengan kunci publik yang tertanam dalam CSR. Setelah CA (RapidSSL dalam kasus Anda) memutuskan bahwa CSR itu sah, tanda tangannya menjadi tidak berarti untuk proses pembuatan sertifikat lebih lanjut dan dibuang secara efektif.

Untuk detail lengkap tentang apa yang ada dalam sertifikat, lihat rfc5280-4.1.2


Jadi itu berarti hanya sertifikat itu sendiri yang dienkripsi dengan SHA256. Kunci pribadi (dan itu adalah mitra publik yang tertanam dalam CSR) tidak ada hubungannya dengan SHA256. Benar?
joshua.paling

1
@ joshua.paling SHA adalah algoritma hashing yang aman, hanya digunakan untuk menandatangani hal-hal seperti CSR atau sertifikat, kunci publik yang disematkan akan digunakan untuk enkripsi nanti, sertifikat itu sendiri tidak dienkripsi.
Erik Dannenberg
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.