証明機関 (CA) が、独自の秘密鍵で証明書に実際に署名する前に、証明書署名要求 (CSR) を変更することを許可されているかどうか教えてください。
具体的には、署名を追加する前に CA が追加のフィールド (EKU など) を証明書に挿入することが有効かどうかを知りたいです。
Ragesh
質問する
498 次
2 に答える
1
はい
認証局は、ポリシー ファイルとテンプレートを介して組織の PKI セキュリティ ポリシーを実施する責任があります。これには、EKU (拡張キー使用法) 属性が含まれる場合があります。
実際には、サブジェクトに代わって CA から特定のタイプの証明書を要求しています。CA が発行する証明書の種類 (および関連する用途) を強制するのは、CA 次第です。
CA は、許可されたタイプの証明書を発行するほど、実際には要求を変更していません。
于 2008-11-06T12:58:05.223 に答える
0
一般的に CA について話すことはできませんが、Windows Server 2003 ネットワークを独自の CA で実行したことがありますcertreq。(-attribオプションを使用して) CA に到達する前に CSR にフィールドを追加することは間違いなく可能です。したがって、CA 自体がほぼ同じことを実行できるように思えます。
あなたのマイレージは異なる場合があります。
于 2008-11-06T07:54:39.640 に答える