Какая информация запроса на подпись сертификата включена в сертификат?

Question

Если вы создаете запрос подписи сертификата и включаете идентификационную информацию (например, «Отличительное имя», «Бизнес-имя», «Город/город», адрес электронной почты), это любая из этих данных, включенных в сам сертификат (который CA выдает на основе на КСО)?

Или он просто используется центром сертификации для идентификации вас, прежде чем согласиться подписать открытый ключ?

Для более полного списка идентифицирующей информации смотрите таблицу на https://en.wikipedia.org/wiki/Certificate_signing_request

Answer 1

Это зависит от конфигурации CA и генерации кода запроса. Например, при работе с открытым ключом Microsoft Enterprise CA и именем шаблона сертификата достаточно. Сервер CA будет изучать свойства шаблона сертификата (включая имя субъекта) для создания сертификата. При работе с Microsoft Standalone CA все необходимые расширения, поле темы должны быть указаны явно в запросе. Коммерческим ЦС может потребоваться другой набор информации для создания сертификата.

Речь идет о требованиях к ЦС. Код генерации запроса может содержать дополнительную информацию, которая может (не обязательно) использоваться CA для создания сертификата. Например, интерфейсы certreq.exe или CertEnroll COM включают информацию об источнике запроса: имя учетной записи пользователя, имя хоста, имя процесса и расширения по умолчанию (KeyUsage) на основе настроек ключа (AT_EXCHANGE или AT_SIGNATURE).

Иными словами, нет определенного ответа на этот вопрос. Все зависит от клиентского и серверного программного обеспечения. Различные клиентские программы могут содержать различную информацию.

Answer 2

Это зависит от CA, но хороший CA не должен копировать то, что вы положили в свою CSR слепо.

Когда ЦС выдает сертификат, он эффективно передает идентификационную информацию и атрибуты, которые она помещает в сертификат. Поэтому он не должен помещать данные, такие как название организации, местоположение, адрес электронной почты, если только он не смог проверить их извне. Это хорошо с точки зрения безопасности в принципе, и поскольку они обычно заставляют вас оплачивать дополнительные дополнительные атрибуты, также в их коммерческих интересах не позволить вам выбирать, что входит.

На практике это зависит от тип сертификата, к которому вы обращаетесь (например, подтвержденный доменом, сертификат EV, ...). Дополнительные части информации, как правило, проверяются CA через некоторый административный процесс, поэтому то, что в самой CSR, едва ли актуально, поскольку они построят CA на основе любой информации, которую они будут готовы утверждать.

Например, для сертификатов, сертифицированных для домена, некоторые ЦС будут строить DN, как OU=Domain Validated, CN=your.host.name, независимо от DN, который вы фактически положили в CSR. Они могут даже выбрасывать пару альтернативных имен, с и без префикса www. автоматически.