1

谁能告诉我是否允许证书颁发机构 (CA) 在使用自己的私钥实际签署证书之前对证书签名请求 (CSR) 进行修改?

具体来说,我想知道 CA 在添加签名之前将其他字段(例如 EKU)插入证书是否有效。

4

2 回答 2

1

是的

证书颁发机构负责通过其策略文件和模板执行组织的 PKI 安全策略。这可能包括 EKU(扩展密钥使用)属性。

实际上,您正在代表您的主题从 CA 请求某种类型的证书。由 CA 来强制执行它将颁发的证书类型(以及相关用途)。

CA 实际上并没有修改请求,而是发布了允许类型的证书。

于 2008-11-06T12:58:05.223 回答
0

我一般不能谈论 CA,但我曾经使用自己的 CA 运行 Windows Server 2003 网络,并且绝对有可能certreq(通过-attrib选项)在 CSR 到达 CA 之前向 CSR 添加其他字段。因此,在我看来,CA 本身也有可能做同样的事情。

你的旅费可能会改变。

于 2008-11-06T07:54:39.640 回答