CA 是否可以在签名前修改 CSR？

Question

谁能告诉我，在使用自己的私钥实际签署证书之前，是否允许认证机构 (CA) 对证书签名请求 (CSR) 进行修改？

具体来说，我想知道 CA 在添加签名之前将其他字段（例如 EKU）插入到证书中是否有效。

Answer 1

是

证书颁发机构负责通过其策略文件和模板强制执行组织的 PKI 安全策略。 这可能包括 EKU（扩展密钥使用）属性。

实际上，您是代表您的主体向 CA 请求某种类型的证书。 CA 负责强制执行其将颁发的证书类型（以及相关用途）。

CA 实际上并没有修改请求，而是颁发了允许类型的证书。

Answer 2

我不能笼统地谈论 CA，但我曾经运行过一个带有自己的 CA 的 Windows Server 2003 网络，并且绝对可以制作 certreq （通过 -attrib选项）在 CSR 到达 CA 之前向其添加其他字段。 因此，在我看来，CA 本身也可以做同样的事情。

你的旅费可能会改变。