Quindi abbiamo un sistema che genera una chiave per ogni server firmato dalla CA della società.
Ho bisogno di aggiungere una SAN, ma in realtà non ho accesso al CSR. C'è comunque da aggiungere una SAN? Forse generare un altro cert nella catena in modo da poter utilizzare la CA e la chiave / cert fornita.
Qualche idea?
Non è possibile modificare un certificato già emesso poiché ciò invaliderebbe la firma. Non è inoltre possibile emettere un nuovo certificato utilizzando il certificato in quanto tale certificato server presenta vincoli di base CA false, ovvero può essere utilizzato solo come certificato foglia e non firmare altri certificati.
In altre parole: è necessario creare un CSR completamente nuovo con tutte le informazioni che si desidera avere e lasciarlo firmare dalla CA. Che tu non abbia il vecchio CSR non importa dal momento che il vecchio CSR è comunque incompleto. Ma in teoria puoi ricreare il CSR dal tuo certificato esistente solo mancherebbe la SAN uguale al vecchio certificato.
Non è possibile modificare un certificato esistente in alcun modo. A questo punto mancherà l'aggiunta di una firma crittografica del certificato.
Se si desidera aggiungere SAN, la maggior parte delle CA consente di riemettere un certificato con nuovi dettagli, sebbene di solito questo revochi il vecchio certificato.
Non è necessario che il vecchio CSR per riemettere un certificato, è possibile invece creare un nuovo CSR con i dettagli aggiornati utilizzando una chiave privata nuova o esistente.