São CAs permissão para modificar CSRs antes de assinar?
https://stackoverflow.com/questions/267858
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Alguém por favor pode me dizer se autoridades certificadoras (CAs) estão autorizados a fazer modificações no Pedido de Assinatura de Certificado (CSR) antes de realmente assinar o certificado com sua própria chave privada?
Especificamente, eu gostaria de saber se é válido para o CA para inserir campos adicionais (tais como EKUs) na cert antes de adicionar sua assinatura.
Solução
Sim
A Autoridade de Certificação é responsável pela aplicação da política de segurança organizações PKI através dos seus arquivos de políticas e modelos. Isto pode incluir EKU (uso estendido de chave) atributos.
Na realidade você está solicitando um certificado de um certo tipo do CA em nome do seu assunto. Cabe ao CA para impor o tipo de certificados (e os usos associados) que irá emitir.
A CA não é realmente modificar o pedido tanto como a emissão de um certificado de um tipo permitido.
Outras dicas
Eu não posso falar sobre CAs em geral, mas uma vez eu corri uma rede Windows Server 2003 com a sua própria CA, e é definitivamente possível fazer certreq (através da opção -attrib) adicionar campos adicionais para o CSR antes que chegue ao o CA. Assim, parece-me que é possível para a própria CA para fazer a mesma coisa.
Sua milhagem pode variar.
