Sajnos nincs prezim, amiből nekem anno a legtöbb dolog képbe került a PKI-ból, az a Bounce Castle (egy pure-Java crypto lib) "gyorstalpalója" volt (pl. fontosabb kiterjesztések) ill. hogy játszottam egy kicsit az API-val.
Egyébként ha tippelnem kéne: azért kell aláírnod a CSR-t, hogy bizonyítsd, hogy rendelkezel a publikus kulcshoz tartozó privát kulcssal (fenti doksi 3.8.2.1-es szakaszban írják). Ha jól tippelem a PKCS#10-nél kötelező (a PKCS10CertificationRequestBuilder build metódusának át kell adnod egy ContentSigner-t), a CRMF-nél (mert úgy tűnik, ilyen is van :) ) viszont nem.
Hogy miért fontos, hogy ne SHA1 legyen, amit te is írtál: a SHA1-nél már (megfelelően nagy számítási kapacitással) megoldható a hamisítás. Ha tippelnem kéne a CAB szabályzata a SHA-1 tanúsítvány aláírással egyidőben megtiltotta, hogy SHA-1-el aláírt CSR-t kezeljenek, de a 60 oldalas jogi szöveget most nincs kedvem átolvasni ezért :)
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)