Sind CAs erlaubt CSRs zu ändern, bevor Sie signieren?
-
06-07-2019 - |
Frage
Kann jemand bitte sagen Sie mir, wenn Zertifizieren Authorities (CAs) dürfen Änderungen an der Certificate Signing Request machen (CSR), bevor sie tatsächlich das Zertifikat mit ihrem eigenen privaten Schlüssel signieren?
Insbesondere, ich möchte wissen, ob es gültig ist für die CA zusätzliche Felder eingefügt werden (wie EKUs) in die cert vor ihrer Unterschrift hinzuzufügen.
Lösung
Ja
Die Zertifizierungsstelle ist verantwortlich für die Organisationen PKI Sicherheitspolitik über ihre Richtliniendateien und Vorlagen für die Durchsetzung. Dies kann EKU umfassen (erweiterte Schlüsselverwendung) zuschreibt.
In Wirklichkeit Sie ein Zertifikat eines bestimmten Typs von der CA im Namen Ihres Themas anfordern. Es liegt an der CA die Art der Zertifikate (und die damit verbundenen Anwendungen) zu erzwingen, dass sie ausstellt.
Die CA ist eigentlich nicht die Anforderung zu modifizieren, so viel wie ein CERT eines zulässigen Typs ausgegeben wird.
Andere Tipps
Ich kann nicht über CAs im Allgemeinen sprechen, aber ich lief einmal ein Windows Server 2003-Netzwerk mit einem eigenen CA, und es ist definitiv möglich certreq
(durch die -attrib
Option) fügen Sie zusätzliche Felder in den CSR zu machen, bevor es wird zu die CA. So sieht es für mich, wie es möglich ist, für die CA selbst viel die gleiche Sache zu tun.
Ihre Ergebnisse können variieren.