拇印は、署名ハッシュアルゴリズムに加えてSHA2にする必要がありますか?
私はWindows PKIを見ていて、署名がSHA2(SHA256)であるのに対し、拇印はSHA1であることがわかります。
これは許容できる構成ですか?
サムプリント用にクライアントをSHA2に更新することをお勧めしますか?
これにより、下位互換性の問題が発生しますか?
計算フィールド
これは、Windows GUIによる計算された値だと思います。そして実際には証明書の内部ではありません。 OpenSSLを使用して証明書自体を見てください。 (openssl x509 -in MYFILENAME.CER -noout -text)
これについて話すブログは次のとおりです。
http://morgansimonsen.wordpress.com/2013/04/16/understanding-x-509-digital-certificate-thumbprints/
拇印は計算されたフィールドであり、証明書データ自体の一部ではありません。