Le CA sono autorizzate a modificare i CSR prima di firmare?
https://stackoverflow.com/questions/267858
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Qualcuno può dirmi se le autorità di certificazione (CA) sono autorizzate a modificare la richiesta di firma del certificato (CSR) prima di firmare effettivamente il certificato con la propria chiave privata?
In particolare, vorrei sapere se è valido per la CA inserire campi aggiuntivi (come EKU) nel certificato prima di aggiungere la loro firma.
Soluzione
Si
L'autorità di certificazione è responsabile dell'applicazione della politica di sicurezza PKI dell'organizzazione tramite i suoi file e modelli di politica. Ciò può includere attributi EKU (utilizzo chiave esteso).
In realtà stai richiedendo un certificato di un certo tipo alla CA per conto del soggetto. Spetta alla CA applicare il tipo di certificati (e gli usi associati) che emetterà.
La CA in realtà non sta modificando la richiesta tanto quanto emettere un certificato di tipo consentito.
Altri suggerimenti
Non posso parlare di CA in generale, ma una volta gestivo una rete Windows Server 2003 con una propria CA ed è sicuramente possibile creare certreq (tramite -attrib opzione) aggiungi altri campi al CSR prima che arrivi alla CA. Quindi, mi sembra che sia possibile che la stessa CA faccia più o meno la stessa cosa.
Il tuo chilometraggio può variare.
