Разрешено ли CAS изменять CSR перед подписанием?
https://stackoverflow.com/questions/267858
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Кто-нибудь может, пожалуйста, сказать мне, разрешено ли органам сертификации (CAS) вносить изменения в Запрос на подпись сертификата (CSR) до фактического подписания сертификата своим собственным закрытым ключом?
В частности, я хотел бы знать, допустимо ли для центра сертификации вставлять дополнительные поля (например, EKU) в сертификат перед добавлением их подписи.
Решение
ДА
Центр сертификации несет ответственность за обеспечение соблюдения политики безопасности PKI организации с помощью своих файлов и шаблонов политики.Это может включать атрибуты EKU (расширенное использование ключа).
На самом деле вы запрашиваете сертификат определенного типа у центра сертификации от имени вашего субъекта.Центр сертификации должен обеспечить соблюдение типа сертификатов (и связанных с ними видов использования), которые он будет выдавать.
Центр сертификации на самом деле не столько изменяет запрос, сколько выдает сертификат разрешенного типа.
Другие советы
Я не могу говорить о центрах сертификации в целом, но однажды я запускал сеть Windows Server 2003 с собственным центром сертификации, и определенно можно выполнить certreq (через -attrib option) добавить дополнительные поля в CSR, прежде чем он попадет в CA. Таким образом, мне кажется, что сам СА может сделать то же самое.
Ваш пробег может отличаться.
