Регистрация Войти
Рейтинг:0
avatar Server

Microsoft ADCS: изменить тему в существующем CSR

флаг tc
StanTastic

Предположим, у меня есть CSR, в котором некоторые Предмет поля созданы не по X.509 - в них есть запрещенные символы Предмет, или же Страна был предоставлен как «Англия».

Есть ли способ оправиться от этого?

Я пытался:

  • с использованием policy.inf отказаться от сертификата, но я не могу найти способ изменить существующий Предмет
  • редактирование запроса непосредственно в CA, но так как в CSR есть какие-то запрещенные вещи, запрос сразу же завершается ошибкой, и использование certutil -setattributes приводит к "CERTSRV_E_BAD_REQUESTSUBJECT" (что-то вроде ожидаемого, но немного странного, так как вы можете попытаться повторно отправить запрос, который находится в списке «Ошибка»).

Я не думаю, что здесь возможно «исправить» плохой CSR, но, возможно, я ошибаюсь?

80
0 + 0
Рейтинг:1
avatar Server
флаг br
garethTheRed

Предполагая, что вы используете стандартный формат для своих запросов — и вы должны сделать это с ADCS — есть только два места, где вы можете изменить тему (или любой другой атрибут или расширение) запроса сертификата:

  • в источнике путем создания нового запроса; или же,
  • запросить у центра сертификации изменение запроса до того, как он подпишет его.

Вы не можете изменить запрос на сертификат в промежутке между его созданием и его принятием ЦС, так как он имеет цифровую подпись. Любые изменения сделают подпись недействительной.

Если CA не примет запрос, ваш единственный вариант — вернуться к источнику.

0 + 0
флаг tc
StanTastic
Спасибо, это то, что я понял - мне просто нужно было это подтверждение. Однако я должен отметить, что вы *можете* фактически изменить расширенные атрибуты для запроса до отправки в MS CA с помощью команды certreq -policy - она ​​создает своего рода пакет исходного CSR с запрошенными изменениями.
0
Ответить
флаг br
garethTheRed
Вы не меняете CSR там - если бы вы это сделали, это сделало бы подпись недействительной. Что вы фактически делаете, так это отправляете запрос в ЦС, чтобы рассмотреть возможность добавления этих изменений.
0
Ответить
флаг tc
StanTastic
Я никогда не говорил, что хочу изменить CSR, я только хотел использовать открытый ключ из CSR для выпуска сертификата с данными, отличными от предоставленных в CSR.Как правило, это возможно, но, по-видимому, не для CSR с неправильным форматом поля C или недопустимыми символами в поле Subject, потому что MS CA сразу откажется загружать эти CSR и не позволит редактировать Failed запросы (даже если вы можете попросить CA выдать эти ceets, что, конечно, не удастся).
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.