Por lo que entiendo, todo depende de cómo generaste el certificado con openssl.
Si generaste un certificado SHA-1, debería darse de baja y realizar el pedido de uno nuevo.
No he podido comprobarlo aún, pero tengo entendido que en la página de AFIP dice si los certificados son SHA-1 o SHA-2
De todas maneras, estoy siguiendo el hilo de este grupo de google:
https://groups.google.com/forum/#!msg/pyafipws/oNRJ4XQo_iA/E0kAJwtFAgAJ
Adhiero a la consulta de Federico, si alguien pudiera clarificar.
Gracias!
