Considere un certificado usado por una Autoridad de Certificación. Esto está actualmente hash utilizando SHA-1. Me gustaría mantener la misma clave pública / privada para esto, pero hash con SHA-256. Por hash it quiero decir hash la sección tbsCertificate, como se describe en RFC5280 - usando SHA-256, seguido de firmar el resumen con la clave privada de la CA original que realmente emitió el certificado.
Esto viene en el contexto de este artículo , donde se indica que
Si desea convertir un certificado de CA en una versión de ADCS antes de Windows Server 2012, debe exportar el certificado de CA fuera de la CA, importar en ADCS 2012 o posterior utilizando certutil.exe con la opción -KSP, luego exportar el certificado recién firmado como un archivo PFX y vuelva a importar en el servidor original.
Además del error de escritura (no hay -KSP, solo un interruptor -CSP).
Sin embargo, si utiliza una CA diferente para firmar un certificado, esto se traduce en el uso de una clave privada diferente, siempre que el Identificador de la Clave de Autoridad permanezca igual, y la clave pública de la CA a la que se hace referencia no verifique esta nueva firma. ¿Genera esto un certificado que podría fallar la validación?