Posso obter um certificado SHA-256 quando o CSR é para SHA-1?

Eu li:

Por padrão, as ferramentas criptográficas OpenSSL são configuradas para criar assinaturas SHA1. por exemplo, se você deseja gerar uma solicitação de certificado assinado por SHA256 (CSR), inclua na linha de comandos: -sha256

Foi necessário atualizar um certificado SHA1 existente para SHA256. Gerei um novo CSR e enviei para o RapidSSL, antes de perceber que não havia especificado -sha256no CSR.

Entrei em contato com eles e eles dizem "foi feita a substituição de um certificado Sha2 e o estado atual do pedido está aguardando aprovação. Depois que o pedido for aprovado, o novo certificado será emitido com o algoritmo SHA2".

Minha pergunta é: é possível que eles obtenham meu CSR SHA1 e digam "ok, estamos devolvendo um certificado SHA256 de qualquer maneira, porque é tudo o que fazemos agora"? E esse certificado funcionará com a chave privada que eu gerei correspondente ao CSR SHA1?

Como funciona? Quando passo -sha256(ou não) no momento da geração de um CSR, o que isso afeta, além de apenas fazer uma anotação no CSR dizendo "ei, essa pessoa quer criptografia SHA256 em seu certificado"? Isso afeta a chave privada gerada de alguma forma?

É possível porque a assinatura de um CSR é usada apenas para provar que você é realmente o proprietário da chave privada que corresponde à chave pública incorporada no CSR. Depois que o CA (RapidSSL no seu caso) decide que o CSR é válido, sua assinatura se torna sem sentido para o processo adicional de criação do certificado e é efetivamente descartada.

Para obter detalhes completos sobre o que há em um certificado, consulte rfc5280-4.1.2