¿Se les permite a las CA modificar las CSR antes de firmar?
https://stackoverflow.com/questions/267858
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Alguien puede decirme si las Autoridades de Certificación (CA) pueden hacer modificaciones a la Solicitud de Firma de Certificado (CSR) antes de firmar el certificado con su propia clave privada?
Específicamente, me gustaría saber si es válido que la CA inserte campos adicionales (como EKU) en el certificado antes de agregar su firma.
Solución
Sí
La Autoridad de Certificación es responsable de hacer cumplir la política de seguridad PKI de la organización a través de sus archivos y plantillas de políticas. Esto puede incluir atributos EKU (uso de clave extendida).
En realidad, está solicitando un certificado de cierto tipo de la CA en nombre de su sujeto. Depende de la CA hacer cumplir el tipo de certificados (y los usos asociados) que emitirá.
La CA en realidad no está modificando la solicitud, sino emitiendo un certificado de un tipo permitido.
Otros consejos
No puedo hablar de CA en general, pero una vez ejecuté una red de Windows Server 2003 con su propia CA, y definitivamente es posible hacer certreq (a través de -attrib option) agrega campos adicionales a la CSR antes de que llegue a la CA. Por lo tanto, me parece que es posible que la propia CA haga lo mismo.
Su millaje puede variar.
