使用OpenSSL生成CSR时,您有两种选择: 1)生成CSR时生成私钥 2)使用私钥派生公钥并使用公钥创建CSR
CSR是否需要使用匹配的私钥进行签名,以便CA对其进行验证?
假设,如果我有两个密钥对(PubKey1,PrivKey1,PubKey2,PrivKey2),该怎么办?我做的第一件事是将PrivKey1移动到另一个地方。有没有办法让我可以使用PubKey1来创建CSR(无法访问PrivKey1),但是使用PrivKey2签名以保持完整性?
有人可以解释为什么这种情况对CA不起作用吗?
我一直在谷歌搜索一堆,并且可用的文档没有详细说明私钥在创建CSR中的作用。
答案 0 :(得分:1)
CSR是否需要使用匹配的私钥进行签名,以便CA对其进行验证?
是。始终使用与公钥匹配的私钥对PKCS#10证书请求进行签名。
有没有办法让我可以使用PubKey1来创建CSR(无法访问PrivKey1),但是使用PrivKey2签名以保持完整性?
没有。私钥签署CSR的原因是向CA证明您拥有与公钥对应的私钥。如果您使用其他私钥进行签名,则CA会拒绝您的请求。