问CA的签名实际上涵盖了多少证书？

EN

最近，我的一个开发人员对证书的可兼容性产生了问题，我们在这里混了一会儿，直到我们遇到了一个关于SO的类似问题。

一旦我理解了开发人员的初始问题(原始证书是用CNG提供程序生成的，而不是Legacy提供者)，我希望必须重新创建带有compatable参数的CSR，并将其发送给CA重新签名。

但是，链接的问题列表使我看到了一个另一个问题未被接受的答案，它建议可以使用openssl将现有的PFX拆分成PEM对，将PEM私有文件的CSP参数更改为与应用程序可合并的参数，然后重新创建PFX。

撇开PEM转换不说，我对更改私钥文件是否有效持怀疑态度，因为我认为这会导致签名更改，因此不再有效。然而，令我惊讶的是，它似乎已经发挥了作用，开发人员能够继续下去，不再有进一步的问题。

这让我想知道，签名过程实际上涵盖了多少证书？如何阻止使用相同工具(或类似工具)的人更改过期日期，添加另一个主题替代名称，或删除CRL或OSCP信息(例如)？