1
CA可以插入并添加扩展到不在CSR中的X.509吗?例如,一家公司运行一个内部CA,并通过额外的扩展来增加证书(操作所需,因此非常重要)。直接完成这项工作比期望客户将其添加到CSR本身要容易得多。后者可能需要提供表单然后注入扩展的工具,而不是允许客户端从命令行调用OpenSSL。将附加扩展直接添加到X.509
这是张贴到SO,因为我是一名工程师做安全相关的工作,并且正在寻求那些做类似工作的人的见解。
A
回答
0
是否有可能对CA进行干预,并添加扩展到X.509不在的CSR
是。例如,Startcom将添加说明,添加电子邮件地址并添加通用名称。所以主体的DN显示将类似于:
$ openssl x509 -in www-example-com.pem -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 903612
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Validity
Not Before: Jan 30 08:54:48 2014 GMT
Not After : Jan 31 12:51:02 2015 GMT
Subject: description=v91xHxCGaTrqOAm, C=US, CN=www.example.com/[email protected]
Subject Public Key Info:
...
对我来说,我没有指定一个描述或通用名称(通用名称已被弃用,不应该使用)。我只指定了两个DNS主题别名(以及其他主题信息)。
CA也可能会删除一些字段,并修改或覆盖您已经提供的字段。
CSR很像维基百科的贡献。如果你不希望它被无情地编辑,不要提交它。
这被派驻到,因为我是一个工程师在做安全相关工作......
它仍然可能题外话:○
2
事实上,CA的使用CSR的一些信息构建证书,而不是仅签署CSR。 CA添加分机总是 - 至少KeyUsage和ExtKeyUsage由CA设置,然后CRL和OCSP响应方位置也通过分机指定并由CA设置。还可以设置更多的扩展。
相关问题
- 1. 将扩展添加到PHP.ini?
- 2. 将HTML附加到XUL(Firefox扩展)
- 3. 如何将x.509证书添加到Restful WCF服务?
- 4. 将XPath添加到Chrome扩展或添加到javascript
- 5. 将扩展方法添加到MembershipProvider
- 6. 将PHP的扩展添加到ctags
- 7. 如何将扩展添加到泛型?
- 8. 将扩展添加到roadsend-php
- 9. 如何将Firefox扩展添加到GeckoFX?
- 10. 将TPL扩展添加到记事本++
- 11. 将扩展名添加到文件
- 12. 函数附加/扩展
- 13. 附加URL扩展到从行动
- 14. C#将扩展接口添加到列表
- 15. 将接口添加到扩展另一个类的类
- 16. 将通用扩展方法添加到接口,如IEnumerable
- 17. Visual Studio代码扩展如何直接添加键绑定
- 18. 添加在扩展视图的附加内容vaadin
- 19. 如何将扩展附加到尚不具有扩展名的文件?
- 20. 将附件添加到Slackbot
- 21. 添加新的动作链接扩展
- 22. VLC添加扩展,远程连接等
- 23. 如何使用Safari扩展附加链接到文本块
- 24. 将视觉工作室加载项添加到扩展库
- 25. 将滚动条添加到附加框
- 26. 将附加数据添加到WinForms ListViewItem
- 27. 无法将附加值添加到cookie
- 28. 为什么我无法将ToggleButton.IsChecked属性附加到扩展器
- 29. 如何将文件扩展名.js附加到打字稿?
- 30. 通过Chrome扩展将侦听器附加到AJAX事件
像AKI和EKU这样的领域是预期的(正如一些政策扩展)。但是,不需要添加像通用名称一样的不推荐使用的字段。 – jww
@jww问题不是关于“预期”,而是关于那些不在CSR中的问题。 –