È possibile aggiungere un'estensione x509 a un certificato dopo la creazione?

0

Ho l'impressione che le estensioni x509 debbano essere aggiunte al momento della creazione del certificato. Voglio solo verificare che la mia comprensione sia corretta e che non posso prendere un certificato dopo che è stato creato e aggiungere quindi l'estensione.

Queste sono estensioni che il mio server di test opc-ua potrebbe richiedere:

    X509v3 Key Usage:
        Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Certificate Sign
    X509v3 Extended Key Usage:
        TLS Web Server Authentication, TLS Web Client Authentication
    
posta simgineer 15.09.2017 - 19:35
fonte

1 risposta

3

Hai ragione a non poter aggiungere un'estensione a un certificato esistente.

L'aggiunta di un'estensione cambierebbe il contenuto della porzione tbsCertificate del certificato e invaliderebbe la firma sul certificato.

Produrre un altro certificato che è sotto tutti gli altri lo stesso (ma ha questa estensione) è teoricamente possibile se si possiede la CA. Altrimenti, invieresti semplicemente una nuova richiesta, il che significherebbe ottenere un nuovo numero di serie. (In entrambi i casi otterresti una nuova impronta digitale / impronta digitale, poiché si tratta di un hash del certificato e non di un valore intrinseco).

    
risposta data 15.09.2017 - 19:51
fonte

Leggi altre domande sui tag