我有一个使用SHA-1算法的rootca。是否可以用SHA-2生成子ca或签署任何csr ?从SHA-1迁移到SHA-2是不可能的。我想拥有SHA-2的证书,其发行者使用SHA-1。是否有任何链接可以更清楚地了解相关主题
这是可能的——可以为链中的每个证书使用不同的签名算法。
RFC 5280 6.1.4—准备证书i+1章节描述了证书路径验证算法的相关部分。特别要注意:
(f) Assign the certificate subjectPublicKey algorithm to the
working_public_key_algorithm variable.
这表明每个证书可以使用不同类型的公钥,这意味着每个证书可以使用不同的签名算法进行认证。此外,在RFC 5280中没有规定使用相同公钥类型的证书路径中的签名必须使用相同的签名算法。