¿Se puede crear una CSR en OpenSSL con SHA2? Si es así, ¿cuál sería el comando y qué le dice esto a la AC, en todo caso? Si pudiera crear una CSR utilizando SHA2, ¿le "diría" a la CA firmante que la use en toda la cadena de certificados?
Puede agregar, por ejemplo, el indicador -sha256 a la línea de comandos OpenSSL al generar el CSR. No creo que ninguna CA cambie la forma en que firman su CSR basándose en esto, y ciertamente no afectará la cadena de certificados. No están renunciando a la cadena de certificados para cada clave, la única operación de firma que realizan es en su propia CSR. Todas las CA intermedias / raíz proporcionadas serán exactamente las mismas para todos los clientes.
Lea otras preguntas en las etiquetas public-key-infrastructure certificates certificate-authority openssl