Tenemos un sistema que genera una clave para cada servidor firmado por la CA de la empresa.
Necesito agregar una SAN pero no tengo acceso a la CSR. ¿Hay alguna forma de agregar un SAN? Tal vez genere otro certificado en la cadena para que pueda usar la CA y la clave / certificado provistos.
¿Alguna idea?
No hay forma de cambiar un certificado ya emitido ya que esto invalidaría la firma. Tampoco puede emitir un nuevo certificado utilizando el certificado que tiene, ya que este certificado de servidor tiene restricciones básicas CA false, es decir, solo se puede utilizar como certificado de hoja y no para firmar otros certificados.
En otras palabras: debe crear una CSR completamente nueva con toda la información que desea tener y dejar que la CA la firme. Que no tengas la vieja CSR no importa ya que la antigua CSR está incompleta de todos modos. Pero, en teoría, podría volver a crear el CSR a partir de su certificado existente perdería la SAN igual que el certificado anterior.
No puedes alterar un certificado existente de ninguna manera. Le faltará el punto de agregar una firma criptográfica del certificado.
Si desea agregar SAN, la mayoría de las CA le permiten volver a emitir un certificado con nuevos detalles, aunque esto generalmente revocará su certificado anterior.
No necesita la antigua CSR para volver a emitir un certificado, en su lugar puede crear una nueva CSR con los detalles actualizados utilizando una clave privada nueva o existente.