나는 가지고있다기존의X509 인증서에 지금 확장 키 사용 항목을 추가할 수 있나요(공동 설계)?
아니면 새 인증서를 만들어야 합니까? 확장 키 사용이 공개 키에 기록됩니다. 그렇죠?
기존 인증서에 확장 키 사용 항목을 추가할 수 있는 경우 필요한 openssl 명령이 있으면 좋을 것입니다 :-)
정말 감사합니다!!!
답변1
기존 인증서를 변경할 수 없습니다. 변경하면 인증서 서명이 무효화됩니다. 유효한 서명이 없는 인증서는 유효하지 않은 것으로 간주됩니다.
답변2
요청하는 것은 인증서 수정입니다. 그러나 이는 인증서를 발급한 CA에서만 가능합니다. 이는 CA의 개인 키를 다시 서명하지 않고도 CA에서만 개인 키를 사용하여 인증서에 서명할 수 있기 때문입니다. 키는 (원본) 서명을 무효화합니다. 이것이 디지털 서명의 핵심입니다.
그러나 만일너CA인 경우 올바른 확장자를 추가하여 인증서 서명 요청에 다시 서명할 수 있습니다. 새 키 쌍을 생성하지 않는 한(을 사용하지 말고 대신 -newkey사용 -key <original private key file>) 정의에 따라 종료됩니다. 귀하의 경우에는 수정된 인증서를 사용하여 동일한 주체 이름도 유지해야 합니다.
하지만 이미 첫 번째 인증서를 배포했다면 주의해야 합니다. 왜냐하면 동일한 주제에 대해 키 용도가 다른 두 개의 인증서가 생성되기 때문입니다.