是否可以签署密钥长度长于CA证书

Question

我有一个自签名的CA，其密钥长度为1024位。是否可以使用此CA签署具有更长密钥长度（2048位）的服务器证书？我想签署服务器证书并为Active Directory服务配置它。

我可以使用充气城堡来做到这一点。我关心的是 1）这是个好主意吗？ 2）如何建立证书信任？那没关系。

Answer 1

是的，您可以使用1024位RSA私钥为使用2048位密钥的服务器签署证书。您签署的证书（服务器证书）中密钥的长度，甚至类型与您用于签名的密钥无关。例如，如果需要，您可以让1024位RSA私钥使用256位EC密钥为服务器签名。

（从技术上讲，您不是签署证书本身，而是签署证书的哈希。有关详细信息，请参阅this question and answer。但从概念上讲，您可以将其视为＆＃34;签署证书＆＃34 34。）

建立信任与任何其他证书链相同：

1. 您的客户端在其信任存储区中包含您的CA的1024位公钥。
2. 您的客户端连接到服务器，该服务器发送由您的CA签名的证书。
3. 您的客户端发现证书已由信任存储区中的CA签名，因此它使用客户端中的CA公钥验证服务器证书上的CA签名＆＃ 39; s trust store。
4. 签名匹配，因此客户端信任服务器的证书。