Openssl CSR是否需要使用匹配的私钥签名？

使用OpenSSL生成CSR时，您有两个选项： 1） 生成CSR时生成私钥 2） 使用私钥派生公钥，并使用公钥创建CSR

是否需要使用匹配的私钥对CSR进行签名，以便CA对其进行验证

假设，如果我有两个密钥对（PubKey1、PrivKey1、PubKey2、PrivKey2），该怎么办。我要做的第一件事就是把PrivKey1移到另一个地方。有没有一种方法可以让我使用PubKey1创建CSR（无需访问PrivKey1），但使用PrivKey2签名以保持完整性

有人能解释为什么这个场景对CA不起作用吗

我已经在谷歌上搜索了很多信息，而可用的文档并没有详细介绍私钥在创建CSR中的作用

是否需要使用匹配的私钥对CSR进行签名，以便CA对其进行验证

对。PKCS#10证书请求始终使用与公钥匹配的私钥进行签名

有没有一种方法可以让我使用PubKey1创建CSR（无需访问PrivKey1），但使用PrivKey2签名以保持完整性

否。私钥签署CSR的原因是向CA证明您拥有与公钥对应的私钥的所有权。如果您使用不同的私钥签名，CA将拒绝您的请求，因为您的请求无效