Разрешено ли ЦС изменять CSR перед подписанием?

Question

Может ли кто-нибудь сказать мне, разрешено ли сертифицирующим органам (ЦС) вносить изменения в запрос на подпись сертификата (CSR) до фактической подписи сертификата своим собственным закрытым ключом?

В частности, я хотел бы знать, допустимо ли для CA вставлять дополнительные поля (например, EKU) в сертификат перед добавлением их подписи.

Answer 1

Да

Центр сертификации отвечает за обеспечение соблюдения политики безопасности PKI организации с помощью файлов и шаблонов политики. Это может включать атрибуты EKU (расширенное использование ключа).

На самом деле вы запрашиваете сертификат CA определенного типа от имени вашего субъекта. Это зависит от CA, чтобы обеспечить тип сертификатов (и связанных с ними видов использования), которые он будет выдавать.

ЦС фактически не столько изменяет запрос, сколько выдает сертификат разрешенного типа.

Answer 2

Я не могу говорить о ЦС в целом, но однажды я запустил сеть Windows Server 2003 с собственным ЦС, и определенно можно заставить certreq (с помощью опции -attrib) добавлять дополнительные поля в CSR. прежде чем он доберется до CA. Таким образом, мне кажется, что сам СА может сделать то же самое.

Ваш пробег может отличаться.