Добавление дополнительных расширений непосредственно к X.509

Question

Возможно ли, чтобы ЦС вмешивался и добавлял расширения к X.509, которые не находятся в КСО? Например, компания запускает внутренний ЦС и дополняет сертификаты с дополнительными расширениями (необходимыми для работы, поэтому критическими). Гораздо более гладко сделать это прямо, чем ожидать, что клиент добавит их в CSR. Последнему, вероятно, потребуется инструмент, который представляет форму, а затем вводит расширения, вместо того, чтобы позволить клиенту просто вызывать OpenSSL из командной строки.

Это отправляется в SO, потому что я инженер, занимающийся защитой, и ищу информацию о тех, кто делает подобную работу.

Answer 1

Возможно ли ЦС вмешаться и добавлять расширения к X.509, которые не являются в КСО

Да. Например, Startcom добавит описание, добавит адрес электронной почты и добавит общее имя. Таким образом, DN субъекта отображается будет выглядеть следующим образом:

$ openssl x509 -in www-example-com.pem -text -noout 
Certificate: 
    Data: 
     Version: 3 (0x2) 
     Serial Number: 903612 
    Signature Algorithm: sha1WithRSAEncryption 
     Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA 
     Validity 
      Not Before: Jan 30 08:54:48 2014 GMT 
      Not After : Jan 31 12:51:02 2015 GMT 
     Subject: description=v91xHxCGaTrqOAm, C=US, CN=www.example.com/emailAddress=webmaster@example.com 
     Subject Public Key Info: 
    ... 

В моем случае, я не указать Описание или Common Name (Общее название не рекомендуется, и не должны использоваться). Я указал только два DNS-объекта Alt Names (и другую информацию о предмете).

CA также, вероятно, сбросит некоторые поля и изменяет или перезаписывает поля, которые вы уже поставили.

CSR очень похож на вклад википедии. Не отправляйте его, если вы не хотите, чтобы он беспощадно редактировался.

---

Это быть вывешенным так, потому что я инженер делает работу связанную с безопасностью ...

его до сих пор, вероятно, не по теме: о

Answer 2

На самом деле, CAs создайте сертификат, используя некоторую информацию CSR, а не просто подпишите CSR. CA добавляет расширения всегда - по крайней мере KeyUsage и ExtKeyUsage устанавливаются ЦС, то местоположения ответчиков CRL и OCSP также определяются через расширения и устанавливаются CA. Также может быть установлено множество расширений.