3.5. 为证书设置签名算法

CA 的签名证书可以用 CA 支持的任何公钥算法为它的问题签名。例如,只要 CA 支持 ECC 和 RSA 算法,ECC 签名证书就可以为 ECC 和 RSA 证书请求签名。RSA 签名证书可以使用 EC 密钥为 PKCS #10 请求签名,但如果 ECC 模块不适用于 CA,则 CA 无法使用 EC 密钥为 PKCS #10 请求签名的 CRMF 证书请求,以验证 CRMF 概念验证(POP)。
ECC 和 RSA 是公钥加密和签名算法。两种公钥算法都支持不同的密码套件,用于加密和解密数据。CA 签名证书的功能部分是使用其支持的加密套件之一发布和签名的证书。
每个配置集可以定义 CA 应该用来为通过该配置集处理的证书签名的密码套件。如果没有设置签名算法,配置集将使用任何默认签名算法。

3.5.1. 设置 CA 的默认签名算法

  1. 打开 CA 控制台。
    pkiconsole https://server.example.com:8443/ca
  2. Configuration 选项卡中,展开 证书管理器树
  3. General Settings 选项卡中,设置 Algorithm 下拉菜单中选择要使用的算法。