Может ли кто-нибудь сказать мне, могут ли сертифицирующие органы (ЦС) вносить изменения в запрос подписи сертификата (CSR) до фактического подписания сертификата со своим личным ключом?Разрешено ли ЦС изменять CSR перед подписанием?
В частности, я хотел бы знать, действительно ли CA для добавления дополнительных полей (таких как EKU) в сертификат перед добавлением их подписи.
Да
Орган Сертификат отвечает за соблюдение политики безопасности организации PKI с помощью своих политических файлов и шаблонов. Это может включать атрибуты EKU (расширенное использование ключа).
В действительности вы запрашиваете сертификат определенного типа из ЦС от имени вашего субъекта. До CA должен применять тип сертификатов (и связанных с ними видов использования), которые он выдаст.
CA фактически не модифицирует запрос так же, как выдачу сертификата разрешенного типа.
Я не могу говорить о УЦ в целом, но я когда-то управляла сетью Windows Server 2003 с его собственным CA, и это, безусловно, можно сделать certreq (с помощью опции -attrib) добавить дополнительные поля в области КСО, прежде чем она получает в ЦА. Таким образом, мне кажется, что сам ЦС может сделать то же самое.
Ваш пробег может отличаться.