Estoy buscando una forma de agregar datos personalizados adicionales en un certificado de servidor SSL emitido por una CA estándar. ¿Es esto posible?
Quiero obtener un certificado de servidor SSL emitido por una CA estándar, para que sea aceptado por los navegadores estándar. Sin embargo, tengo una pequeña cantidad de datos adicionales que serán utilizados por mi aplicación privada que también me gustaría incluir en el certificado. Estoy buscando una manera de incluirlo en el certificado, de una manera que los navegadores estándar ignorarán y (críticamente) que la CA no eliminará.
¿Hay un campo o lugar donde pueda almacenar datos arbitrarios, sin que sean eliminados por las CA públicas?
Tal vez la parte otherName
parte de subjectAltName
: ¿lo conservará cualquier CA estándar? ¿Debo mirar una extensión x509 personalizada?
El requisito crítico es que la CA no lo elimine ni lo modifique. Necesito que exista al menos una CA en la que confíen los principales navegadores, y no eliminaré estos datos personalizados. Sé que algunos campos de la solicitud de firma de certificado (CSR) están filtrados o eliminados por las CA, pero no he podido encontrar la documentación sobre cuáles (si los hay) permiten datos arbitrarios y se conservarán del CSR en el certificado final.
Esta pregunta está relacionada, pero no es la misma: no tiene el requisito de que el certificado sea firmado por una CA en la que confían los navegadores modernos. Además, he encontrado mucha información sobre cómo agregar extensiones personalizadas a un CSR x509, pero eso no es lo que estoy buscando; eso no me dice en qué extensión se guardan los datos (qué extensión no será eliminada por las principales CA). Sé cómo crear un CSR que contenga datos personalizados , pero no sé qué campos del CSR se copiarán sin modificar en el certificado final del servidor. Tampoco estoy buscando una solución que implique la ejecución de mi propia CA: quiero que el certificado de servidor sea aceptado por los navegadores estándar. Esta pregunta también tiene un aspecto similar, pero no lo creo. No veo una respuesta clara allí.