任何人都可以告訴我,在使用自己的私鑰實際簽署證書之前,是否允許認證機構(CA)對證書籤名請求(CSR)進行修改?CA是否允許在簽名前修改CSR?
具體來說,我想知道在添加簽名之前CA是否將其他字段(如EKU)插入證書是否有效。
任何人都可以告訴我,在使用自己的私鑰實際簽署證書之前,是否允許認證機構(CA)對證書籤名請求(CSR)進行修改?CA是否允許在簽名前修改CSR?
具體來說,我想知道在添加簽名之前CA是否將其他字段(如EKU)插入證書是否有效。
是
的證書頒發機構負責通過其政策文件和模板實施的組織PKI的安全策略。這可能包括EKU(擴展密鑰使用)屬性。
實際上,您正在代表您的主題向CA申請某種類型的證書。由CA執行將發佈的證書類型(以及相關用途)。
CA實際上並未修改請求,而是發出許可類型的證書。
我不能談論的CA一般,但有一次,我跑了Windows Server 2003的網絡擁有自己的CA,這是絕對有可能使certreq
(通過-attrib
選項)添加其他字段的CSR它得到前到CA.因此,它看起來像CA本身可能做同樣的事情。
您的里程可能會有所不同。