web-dev-qa-db-fra.com

Ajouter un San (autre nom du sujet) au certificat déjà existant?

Nous avons donc un système qui génère une clé pour chaque serveur signé par la société CA.

Je dois y ajouter un SAN mais je n'ai pas vraiment accès à la CSR. Est-il possible d'ajouter un SAN? Peut-être générer un autre certificat dans la chaîne pour pouvoir utiliser l'AC et la clé/certificat fourni.

Des idées?

7
Biff

Il n'y a aucun moyen de modifier un certificat déjà émis car cela invaliderait la signature. Vous ne pouvez pas non plus émettre de nouveau certificat en utilisant le certificat que vous avez, car ce certificat de serveur a des contraintes de base CA false, c'est-à-dire qu'il ne peut être utilisé que comme certificat feuille et ne pas signer d'autres certificats.

En d'autres termes: vous devez créer un CSR entièrement nouveau avec toutes les informations que vous souhaitez avoir et le laisser signer par l'autorité de certification. Que vous n'ayez pas l'ancien CSR n'a pas d'importance car l'ancien CSR est incomplet de toute façon. Mais, vous pourriez en théorie recréer le CSR à partir de votre certificat existant seulement il manquerait le SAN le même que l'ancien certificat.

9
Steffen Ullrich

Vous ne pouvez en aucun cas modifier un certificat existant. Cela manquera le point d'ajouter une signature cryptographique du certificat.

Si vous souhaitez ajouter un SAN, la plupart des autorités de certification vous permettent de réémettre un certificat avec de nouveaux détails, bien que cela révoque généralement votre ancien certificat.

Vous n'avez pas besoin de l'ancienne CSR pour réémettre un certificat, vous pouvez plutôt créer une nouvelle CSR avec les détails mis à jour en utilisant une clé privée nouvelle ou existante.

1
Lie Ryan