¿Es posible agregar una extensión x509 a un certificado después de la creación?

Navega tus respuestas
0

Tengo la impresión de que las extensiones x509 deben agregarse en el momento de la creación del certificado. Solo quiero verificar que mi entendimiento sea correcto y que no puedo tomar un certificado después de que se haya creado y agregar la extensión.

Estas son extensiones que mi servidor de prueba opc-ua podría requerir: 

    X509v3 Key Usage:
        Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Certificate Sign
    X509v3 Extended Key Usage:
        TLS Web Server Authentication, TLS Web Client Authentication
    
pregunta simgineer 15.09.2017 - 19:35
fuente

1 respuesta

3

Tiene razón en que no puede agregar una extensión a un certificado existente.

Agregar una extensión cambiaría el contenido de la parte tbsCertificate del certificado, y eso invalidaría la firma en el certificado.

Producir otro certificado que sea igual en todos los demás aspectos (pero que tenga esta extensión) es teóricamente posible si posee la CA. Si no, simplemente enviaría una nueva solicitud, y eso significaría que obtendrá un nuevo número de serie. (De cualquier manera obtendría una nueva Huella digital / Huella digital, ya que es un hash del certificado y no un valor intrínseco).

    
respondido por el bartonjs 15.09.2017 - 19:51
fuente

Lea otras preguntas en las etiquetas

¿Podría hackear el dispensador de combustible de una estación de servicio? ¿Cómo eval () en php puede ser peligroso en la seguridad de la aplicación web?