我們如何將SAN添加到現有的PCKS 12？

Question

我們有一個pkcs 12約定的通配符.pfx文件。我們有一個試圖使用它的供應商，但它只能在whatever.company.com網站（適用於臺式機）上工作，並且不適用於m.whatever.company.com網站（適用於移動電話）。我們假設發生這種情況是因爲通配證書僅適用於* .company.com，而不是*。*。company.com。

我們是否需要得到創建了一個新的證書*。*。company.com或沒有人知道的一種方式......我不知道......附加額外的子子域的現有的證書？也許與keytool和/或OpenSSL ....？

Answer 1

首先，您不能在不使簽名無效的情況下編輯現有的簽名證書。如果簽名無效，證書將被視爲無效，並被瀏覽器拒絕。試想一下，如果編輯證書是可能的，並且瀏覽器接受編輯後的證書：在這種情況下，攻擊者可以輕鬆地修改其自己的域的現有證書，以包含任何他想要在中間人攻擊中執行其他攻擊的域。

除了像*.*.example.com這樣的通配符是不可能的，即只允許一個通配符，並且只能在最左邊的標籤中。