Solo curiosidad: si estoy usando un certificado de entidad final (hoja) que tiene una firma SHA-1, ¿eso significa que TODOS los certificados de la cadena también deben usar SHA-1?
Si puede. El algoritmo utilizado para firmar un certificado por el emisor es independiente del algoritmo que se utilizó para firmar el certificado del emisor.
Lea otras preguntas en las etiquetas tls certificates