Les autorités de certification sont-elles autorisées à modifier les CSR avant de signer?
https://stackoverflow.com/questions/267858
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Quelqu'un peut-il me dire si les autorités de certification (Autorités de certification) sont autorisées à modifier la demande de signature de certificat (CSR) avant de signer le certificat avec leur propre clé privée?
Plus précisément, j'aimerais savoir s'il est correct pour l'autorité de certification d'insérer des champs supplémentaires (tels que des EKU) dans le certificat avant d'ajouter leur signature.
La solution
Oui
L’autorité de certification est chargée de l’application de la politique de sécurité de l’ICP de l’entreprise au moyen de ses fichiers et modèles de politique. Cela peut inclure des attributs EKU (utilisation de clé étendue).
En réalité, vous demandez un certificat d’un certain type à l’AC au nom de votre sujet. Il appartient à l’autorité de certification d’appliquer le type de certificats (et les utilisations associées) qu’elle émettra.
L’AC ne modifie pas réellement la demande mais émet un certificat de type autorisé.
Autres conseils
Je ne peux pas parler des autorités de certification en général, mais j’avais une fois dirigé un réseau Windows Server 2003 avec sa propre autorité de certification et il est certainement possible de créer certreq (par le biais de -attrib option) ajoute des champs supplémentaires à la CSR avant qu'elle ne parvienne à l'autorité de certification. Ainsi, il me semble qu’il est possible que le CA lui-même fasse à peu près la même chose.
Votre kilométrage peut varier.
