¿Puedo obtener un certificado SHA-256 cuando la CSR es para SHA-1?

He leído:

Por defecto, las herramientas criptográficas de OpenSSL están configuradas para hacer firmas SHA1. por ejemplo, si desea generar una solicitud de certificado firmada SHA256 (CSR), agregue en la línea de comando: -sha256

Se me pidió que actualizara un certificado SHA1 existente a SHA256. Generé una nueva CSR y la envié a RapidSSL, antes de darme cuenta de que no había especificado -sha256en la CSR.

Me puse en contacto con ellos y me dijeron "se ha realizado un reemplazo para un certificado Sha2 y el estado actual del pedido está esperando su aprobación. Una vez que se apruebe el pedido, se emitirá el nuevo certificado con el algoritmo SHA2".

Mi pregunta es, ¿es posible que obtengan mi CSA SHA1 y digan "está bien, de todos modos les devolveremos un certificado SHA256 porque eso es todo lo que hacemos ahora"? ¿Y ese certificado funcionará con la clave privada que he generado correspondiente a esa CSA SHA1?

¿Como funciona? Cuando paso -sha256(o cuando no lo hago) al momento de generar una CSR, ¿qué afecta eso, aparte de simplemente hacer una nota en la CSR que dice "hey, esta persona quiere el cifrado SHA256 en su certificado"? ¿Afecta la clave privada generada de alguna manera?

Es posible porque la firma de una CSR solo se usa para demostrar que usted es realmente el propietario de la clave privada que coincide con la clave pública incrustada en la CSR. Una vez que la CA (RapidSSL en su caso) decide que la CSR es válida, su firma deja de tener sentido para el proceso posterior de creación del certificado y se descarta efectivamente.

Para obtener todos los detalles sangrientos sobre lo que hay en un certificado, consulte rfc5280-4.1.2