Según entiendo, la creación de un certificado x509 es un proceso simple de 3 pasos:
- El cliente genera una clave privada y una pública.
- Los clientes generan una solicitud de firma de certificado para el par y la firman utilizando su clave privada.
- La autoridad de certificación verifica la solicitud de firma de certificado y genera una firma.
Estoy algo confundido en cuanto a qué información es proporcionada por el cliente y qué termina siendo impuesta por la autoridad de certificación. Estoy de acuerdo con que el cliente proporcione la información básica sobre quién es, pero no entiendo por qué depende del cliente proporcionar extensiones de v3 (es decir, extendedKeyUsage). Para mí, el cliente es un usuario interesado en usar la PKI para acceder a algún tipo de servicio. Por lo tanto, la PKI es responsable de determinar el alcance del certificado. Análogamente, no es el trabajo del trabajador asegurarse de no acceder a los recursos restringidos, es el trabajo del departamento de seguridad para evitar que lo haga.
En resumen: ¿por qué el cliente proporciona extensiones de v3 en la solicitud de firma de certificado en lugar de que la autoridad de certificación las imponga al generar el certificado?