Openssl 证书和CSR md5哈希匹配，但都包含完全不同的域

我有一个CSR和一个证书，它们在SAN中有完全不同的子域，但是这两个匹配项的散列。这可能吗

尝试使用以下命令检查哈希：

openssl req -noout -modulus -in csrs.csr | openssl md5
openssl x509 -noout -modulus -in cert.crt | openssl md5

我有一个CSR和一个证书，它们在SAN中有完全不同的子域，但是这两个匹配项的散列。这可能吗

如上所述，没有。CSR和证书具有完全不同的结构，因此即使它们相关，它们也不会以相同的哈希结束。除非你只是在散列一个公共子集

openssl x509-noout-模数-在cert.crt中

该命令的输出类似于

模数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

您会注意到它不包含任何类似SAN的内容。由于您现在只是比较“他们是否同意RSA模值”，请确保散列可以对齐。CA不要求颁发与您请求使用相同SAN列表的证书（唯一需要匹配的是公钥）

openssl md5

当然，如果您使用的是一个坏的算法，哈希冲突也可能意外地出现。但是，在本例中，这是因为您丢弃了这两个文件的80%，其余的20%是字节对字节相等的，因此产生相同的哈希

我有一个CSR和一个证书，它们在SAN中有完全不同的子域，但是这两个匹配项的散列。这可能吗

如上所述，没有。CSR和证书具有完全不同的结构，因此即使它们相关，它们也不会以相同的哈希结束。除非你只是在散列一个公共子集

openssl x509-noout-模数-在cert.crt中

该命令的输出类似于

模数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

您会注意到它不包含任何类似SAN的内容。由于您现在只是比较“他们是否同意RSA模值”，请确保散列可以对齐。CA不要求颁发与您请求使用相同SAN列表的证书（唯一需要匹配的是公钥）

openssl md5

当然，如果您使用的是一个坏的算法，哈希冲突也可能意外地出现。但是，在本例中，这是因为您丢弃了这两个文件的80%，其余的20%是字节对字节相等的，因此产生相同的哈希