Добавление дополнительных расширений непосредственно в X.509

Question

Добавление дополнительных расширений непосредственно в X.509

Возможно ли, чтобы CA вмешался и добавил расширения к X.509, которых нет в CSR? Например, компания запускает внутренний центр сертификации и дополняет сертификаты дополнительными расширениями (необходимыми для работы, поэтому критическими). Гораздо проще сделать это напрямую, чем ожидать, что клиент сам добавит их в CSR. Последнему, вероятно, потребуется инструмент, который представляет форму, а затем внедряет расширения, вместо того, чтобы позволить клиенту просто вызывать OpenSSL из командной строки.

Это публикуется в SO, потому что я инженер, выполняющий работу, связанную с безопасностью, и ищу идеи тех, кто выполняет аналогичную работу.

2

openssl x509 csr

Источник

user706421 21 апр '14 в 00:26

2 ответа

Другие вопросы по тегам openssl x509 csr

user47961 21 апр '14 в 06:15 2014-04-21 06:15 · Answer 1 · 2014-04-21 06:15

На самом деле, CA создают сертификат, используя некоторую информацию о CSR, а не просто подписывают CSR. CA всегда добавляют расширения - по крайней мере, KeyUsage и ExtKeyUsage задаются CA, затем местоположения респондента CRL и OCSP также указываются через расширения и задаются CA. Также может быть установлено больше расширений.

user608639 21 апр '14 в 03:23 2014-04-21 03:23 · Answer 2 · 2014-04-21 03:23

Возможно ли, чтобы CA вмешался и добавил расширения к X.509, которых нет в CSR?

Да. Например, Startcom добавит описание, адрес электронной почты и общее имя. Таким образом, отображаемое DN субъекта будет похоже на:

$ openssl x509 -in www-example-com.pem -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 903612
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
        Validity
            Not Before: Jan 30 08:54:48 2014 GMT
            Not After : Jan 31 12:51:02 2015 GMT
        Subject: description=v91xHxCGaTrqOAm, C=US, CN=www.example.com/emailAddress=webmaster@example.com
        Subject Public Key Info:
    ...

В моем случае я не указал описание или общее имя (общее имя устарело и не должно использоваться). Я указал только два альтернативных имени субъекта DNS (и другую информацию о субъекте).

CA также, вероятно, удалит некоторые поля и изменит или перезапишет поля, которые вы уже предоставили.

CSR во многом похож на вклад в Википедию. Не отправляйте его, если не хотите, чтобы он безжалостно редактировался.

Это публикуется в SO, потому что я инженер, занимающийся вопросами безопасности...

Это все еще, вероятно, не по теме:o