是否允许CA在签名之前修改CSR？

Question

在使用自己的私钥实际签署证书之前，是否可以告诉我是否允许认证机构（CA）对证书签名请求（CSR）进行修改？

具体来说，我想知道在添加签名之前，CA是否有必要在证书中插入其他字段（例如EKU）。

Answer 1

是

证书颁发机构负责通过其策略文件和模板强制执行组织PKI安全策略。这可能包括EKU（扩展密钥用法）属性。

实际上，您代表您的主题从CA请求某种类型的证书。由CA来执行它将发布的证书类型（以及相关的用途）。

CA实际上并没有像发布允许类型的证书那样修改请求。

Answer 2

我一般不能谈论CA，但我曾经运行过一个带有自己CA的Windows Server 2003网络，并且绝对有可能使 certreq （通过 -attrib option）在到达CA之前将其他字段添加到CSR。因此，在我看来，CA本身可能做同样的事情。

您的里程可能会有所不同。