Openssl 直接向X.509添加其他扩展
CA是否可以介入并向CSR中没有的X.509添加扩展?例如,一家公司运行一个内部CA,它使用额外的扩展来扩充证书(操作需要,因此非常关键)。直接这样做比期望客户自己将它们添加到CSR中要顺利得多。后者可能需要一个工具来呈现表单,然后注入扩展,而不是允许客户端从命令行调用OpenSSL 这是因为我是一名从事安全相关工作的工程师,我正在寻求从事类似工作的人的见解 CA是否可以介入并向CSR中没有的X.509添加扩展 对。例如,将添加说明、电子邮件地址和常用名称。因此,显示的受试者DN类似于:Openssl 直接向X.509添加其他扩展,openssl,x509,csr,Openssl,X509,Csr,CA是否可以介入并向CSR中没有的X.509添加扩展?例如,一家公司运行一个内部CA,它使用额外的扩展来扩充证书(操作需要,因此非常关键)。直接这样做比期望客户自己将它们添加到CSR中要顺利得多。后者可能需要一个工具来呈现表单,然后注入扩展,而不是允许客户端从命令行调用OpenSSL 这是因为我是一名从事安全相关工作的工程师,我正在寻求从事类似工作的人的见解 CA是否可以介入并向CSR中没有的X.509添加扩展 对。例如,将添加说明、电子邮件地址和常用名称。因此,显示的受试者DN类似于: $ o
$ openssl x509 -in www-example-com.pem -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 903612
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA
Validity
Not Before: Jan 30 08:54:48 2014 GMT
Not After : Jan 31 12:51:02 2015 GMT
Subject: description=v91xHxCGaTrqOAm, C=US, CN=www.example.com/emailAddress=webmaster@example.com
Subject Public Key Info:
...
这是被张贴到所以,因为我是一个工程师做安全相关的工作
它可能仍然离题:o实际上,CA使用CSR的一些信息构造证书,而不仅仅是签署CSR。CAs始终添加扩展—至少由CA设置KeyUsage和ExtKeyUsage,然后还通过扩展指定CRL和OCSP响应程序位置,并由CA设置。还可以设置更多扩展 像AKI和EKU这样的字段是预期的(一些策略扩展也是如此)。但是,不应添加不推荐使用的字段(如公用名称)。@jww问题不是关于“应”,而是关于那些不在CSR中的字段。