我正在将SPKI固定到我的移动应用程序,并且我想知道在与另一个CA续订主题发布密钥时,主题发布密钥是否会更改? 我仍然使用相同的CSR生成证书。人们说,如果我们使用相同的证书签名请求文件(CRS),则公钥将是相同的,但是我不确定CA是否也是一个因素。
答案 0 :(得分:1)
最简单的答案是:不,只要您做得正确,就不应更改。
It is recommended,当您指定SPKI HTTP标头时,应在控件中提供至少两个Subject Public Key Information (SPKI) fingerprint私钥(一个用于生产,另一个用于备份)。现在,作为reported here,通常的做法是在私钥丢失的情况下指定众所周知的CA的SPKI指纹,但这会使HPKP无效,因为如果CA受到威胁,那么您基本上就是说“信任CA颁发的证书”。这就是为什么建议提供您自己的公共密钥的SPKI指纹的原因:一种用于普通用途,另一种用于私钥丢失的情况。 因此,只要您在自己的公共密钥的SPKI HTTP标头中指定,每当您与另一个CA(具有相同的CSR或新的CA)生成新证书时,您的公共密钥将相同,并且SPKI仍为有效。