当发行者使用SHA-1时，是否可以生成subca或用SHA-2签署任何csr？

Question

我有一个使用SHA-1算法的rootca。是否可以生成子SHA或用SHA-2签署任何csr。从SHA-1迁移到SHA-2不是一种选择。我想要与SHA-2和它的发行者使用SHA-1，有任何链接，有更明确的图片有关的主题。

Answer 1

这是可能的--可以对链中的每个证书使用不同的签名算法。

RFC 5280节6.1.4 -证书i+1的准备描述了认证路径验证算法的相关部分。特别是，注意：

 (f)  Assign the certificate subjectPublicKey algorithm to the
       working_public_key_algorithm variable.

这表明每个证书可能使用不同类型的公钥，这仅意味着每个证书可以使用不同的签名算法进行认证。此外，RFC 5280中没有声明使用相同公钥类型的证书路径中的签名必须使用相同的签名算法。