証明機関とセキュリティグループからこれについて矛盾する声明を聞いたので確認したいと思います。SHA-256署名付きの署名付き証明書を生成するために、CSRにSHA-256署名が必要ですか?
私はそれは要件ではないと思いましたが、どちらかを明確に確認するための何かを見つけることができません。
それは必須ではないと思いましたが、どちらかを明確に確認するための何かを見つけることができません。
いいえ、これは技術的な要件ではありません。 CAは必要なことを実行できます。彼らが選んだ場合、バーナプキンの裏に書かれたデータを提出すれば、彼らはあなたに証明書を発行することができます。それらを止める技術的なことは何もありません。
SHA-256署名付きの署名付き証明書を生成するために、CSRにSHA-256署名が必要ですか?
いいえ。その間、ほとんどのCAはデフォルトでSHA-2-family-typeハッシュをデフォルトとし、実際にはSHA1証明書が必要であることを具体的に述べる必要があります。
しかし、約1年前、この質問は多くの混乱を引き起こしました。
参考になったが、ひどく命名されたウェブサイトによると
https://shaaaaaaaaaaaaa.com/
確かに1つのCAがあります。
- Gandiは、2017年1月1日以降に期限切れになる証明書にSHA-2を使用するようになりました。それ以前に期限切れになる証明書については、SHA-2を使用して自分でCSRを生成する必要があります。
そして確かに、 そのCAウェブサイトは言う :
2016年1月1日まで:
2017年1月1日以降の有効期限の証明書は、CSRがSHA-1で生成された場合でも、SHA-2としてのみ発行されます。
CSRがSHA-1で生成された場合、有効期限の早い証明書はSHA-1として発行されます
CSRがSHA-2で生成された場合、有効期限が以前の証明書はSHA-2として発行されます
Q:なぜそうするのですか?
A:繰り返しになりますが、技術的な理由はありません。それは、彼らにとって、あまり便利ではない慣習/組織的なものです。これはこの架空のアイデアにいくぶん似ていると思います:グリーンカードを米国で機能するように申請する場合、グリーンシート。それについて技術的なことは何もありません。純粋な組織プロセス。それ以外の方法で転送する必要があるのは、1ビットのデータ(SHA2?ON/OFF)だけです。 (ウェブサイトのチェックボックスのように言ってください。)