是否需要使用匹配的私钥签署CSR?

时间:2013-03-05 05:24:36

标签: openssl rsa csr

使用OpenSSL生成CSR时,您有两种选择: 1)生成CSR时生成私钥 2)使用私钥派生公钥并使用公钥创建CSR

CSR是否需要使用匹配的私钥进行签名,以便CA对其进行验证?

假设,如果我有两个密钥对(PubKey1,PrivKey1,PubKey2,PrivKey2),该怎么办?我做的第一件事是将PrivKey1移动到另一个地方。有没有办法让我可以使用PubKey1来创建CSR(无法访问PrivKey1),但是使用PrivKey2签名以保持完整性?

有人可以解释为什么这种情况对CA不起作用吗?

我一直在谷歌搜索一堆,并且可用的文档没有详细说明私钥在创建CSR中的作用。

1 个答案:

答案 0 :(得分:1)

  

CSR是否需要使用匹配的私钥进行签名,以便CA对其进行验证?

是。始终使用与公钥匹配的私钥对PKCS#10证书请求进行签名。

  

有没有办法让我可以使用PubKey1来创建CSR(无法访问PrivKey1),但是使用PrivKey2签名以保持完整性?

没有。私钥签署CSR的原因是向CA证明您拥有与公钥对应的私钥。如果您使用其他私钥进行签名,则CA会拒绝您的请求。