在使用自己的私钥实际签署证书之前,是否可以告诉我是否允许认证机构(CA)对证书签名请求(CSR)进行修改?
具体来说,我想知道在添加签名之前,CA是否有必要在证书中插入其他字段(例如EKU)。
答案 0 :(得分:1)
是
证书颁发机构负责通过其策略文件和模板强制执行组织PKI安全策略。这可能包括EKU(扩展密钥用法)属性。
实际上,您代表您的主题从CA请求某种类型的证书。由CA来执行它将发布的证书类型(以及相关的用途)。
CA实际上并没有像发布允许类型的证书那样修改请求。
答案 1 :(得分:0)
我一般不能谈论CA,但我曾经运行过一个带有自己CA的Windows Server 2003网络,并且绝对可以让certreq(通过-attrib选项)添加额外的CSR到达CA之前的字段。因此,在我看来,CA本身可能做同样的事情。
您的里程可能会有所不同。