CAは署名する前にCSRを変更できますか?
-
06-07-2019 - |
質問
実際に自分の秘密鍵で証明書に署名する前に、認証機関(CA)が証明書署名要求(CSR)を変更できるかどうかを教えてもらえますか?
具体的には、署名を追加する前にCAが追加フィールド(EKUなど)を証明書に挿入することが有効かどうかを知りたいです。
解決
はい
認証局は、ポリシーファイルとテンプレートを介して組織のPKIセキュリティポリシーを実施する責任があります。これには、EKU(拡張キー使用法)属性が含まれる場合があります。
実際には、サブジェクトに代わってCAに特定の種類の証明書を要求しています。発行する証明書のタイプ(および関連する用途)を強制するのはCA次第です。
実際には、CAは許可されたタイプの証明書を発行するほどリクエストを変更していません。
他のヒント
一般的にCAについて話すことはできませんが、独自のCAを使用してWindows Server 2003ネットワークを実行したことがあり、 certreq
を( -attrib
オプション)、CAに到達する前にCSRにフィールドを追加します。したがって、CA自体がほぼ同じことを実行できるように思えます。
走行距離は異なる場合があります。
所属していません StackOverflow