CA可以插入并添加扩展到不在CSR中的X.509吗?例如,一家公司运行一个内部CA,并通过额外的扩展来增加证书(操作所需,因此非常重要)。直接完成这项工作比期望客户将其添加到CSR本身要容易得多。后者可能需要提供表单然后注入扩展的工具,而不是允许客户端从命令行调用OpenSSL。将附加扩展直接添加到X.509
这是张贴到SO,因为我是一名工程师做安全相关的工作,并且正在寻求那些做类似工作的人的见解。
CA可以插入并添加扩展到不在CSR中的X.509吗?例如,一家公司运行一个内部CA,并通过额外的扩展来增加证书(操作所需,因此非常重要)。直接完成这项工作比期望客户将其添加到CSR本身要容易得多。后者可能需要提供表单然后注入扩展的工具,而不是允许客户端从命令行调用OpenSSL。将附加扩展直接添加到X.509
这是张贴到SO,因为我是一名工程师做安全相关的工作,并且正在寻求那些做类似工作的人的见解。
是否有可能对CA进行干预,并添加扩展到X.509不在的CSR
是。例如,Startcom将添加说明,添加电子邮件地址并添加通用名称。所以主体的DN显示将类似于:
$ openssl x509 -in www-example-com.pem -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 903612
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Validity
Not Before: Jan 30 08:54:48 2014 GMT
Not After : Jan 31 12:51:02 2015 GMT
Subject: description=v91xHxCGaTrqOAm, C=US, CN=www.example.com/[email protected]
Subject Public Key Info:
...
对我来说,我没有指定一个描述或通用名称(通用名称已被弃用,不应该使用)。我只指定了两个DNS主题别名(以及其他主题信息)。
CA也可能会删除一些字段,并修改或覆盖您已经提供的字段。
CSR很像维基百科的贡献。如果你不希望它被无情地编辑,不要提交它。
这被派驻到,因为我是一个工程师在做安全相关工作......
它仍然可能题外话:○
事实上,CA的使用CSR的一些信息构建证书,而不是仅签署CSR。 CA添加分机总是 - 至少KeyUsage和ExtKeyUsage由CA设置,然后CRL和OCSP响应方位置也通过分机指定并由CA设置。还可以设置更多的扩展。
像AKI和EKU这样的领域是预期的(正如一些政策扩展)。但是,不需要添加像通用名称一样的不推荐使用的字段。 – jww
@jww问题不是关于“预期”,而是关于那些不在CSR中的问题。 –