Может ли подписывающий центр сертификации заполнить ExtendedKeyUsage на моем csr?

Question

Я сгенерировал csr с:

Requested Extensions:
            X509v3 Key Usage: 
                Digital Signature
            X509v3 Extended Key Usage: 
                Code Signing

Если я сейчас сгенерирую csr без вышеприведенного Requested Extensions:, все еще будет ли возможность для CA добавить Code Signing использование в мой сертификат?(например, запросив его через веб-форму?)

Answer 1

Да. CA часто игнорируют расширения из входящих запросов (хотя зависит от конфигурации CA) и включают расширения на основе конфигурации CA.

Единственное, что CA не может изменить из CSR - это открытый ключ. Все остальное может быть изменено СА в выданном сертификате.