Разрешено ли CAS изменять CSR перед подписанием?
-
06-07-2019 - |
Вопрос
Кто-нибудь может, пожалуйста, сказать мне, разрешено ли органам сертификации (CAS) вносить изменения в Запрос на подпись сертификата (CSR) до фактического подписания сертификата своим собственным закрытым ключом?
В частности, я хотел бы знать, допустимо ли для центра сертификации вставлять дополнительные поля (например, EKU) в сертификат перед добавлением их подписи.
Решение
ДА
Центр сертификации несет ответственность за обеспечение соблюдения политики безопасности PKI организации с помощью своих файлов и шаблонов политики.Это может включать атрибуты EKU (расширенное использование ключа).
На самом деле вы запрашиваете сертификат определенного типа у центра сертификации от имени вашего субъекта.Центр сертификации должен обеспечить соблюдение типа сертификатов (и связанных с ними видов использования), которые он будет выдавать.
Центр сертификации на самом деле не столько изменяет запрос, сколько выдает сертификат разрешенного типа.
Другие советы
Я не могу говорить о центрах сертификации в целом, но однажды я запускал сеть Windows Server 2003 с собственным центром сертификации, и определенно можно выполнить certreq
(через -attrib
option) добавить дополнительные поля в CSR, прежде чем он попадет в CA. Таким образом, мне кажется, что сам СА может сделать то же самое.
Ваш пробег может отличаться.