Как изменить запрос на сертификат?

Question

[EvilLord]

Добрый день!
Есть удостоверяющий центр Windows, для него клиенты генерируют запросы с использованием openssl.
Проблема в том, что в клиентских запросах отсутствует атрибут "Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)" или "serverauth" и удостоверяющий центр выдает сертификат со всеми политиками применения.
Вопрос как можно изменить файл запроса или при генерации запроса в openssl указывать на необходимость выпустить ключ с политикой:Проверка подлинности сервера?

Answer 1

[EvilLord]

Немного удалось разобраться в вопросе, в операционной системе windows есть утилита certreq и политики сертификата в виде файла например policy.inf:

Содержимое policy.inf

[PolicyStatementExtension] 
Policies=LegalPolicy

[LegalPolicy] 
OID=1.1.1.1.1.1.1
Notice = "Данный сертификат является собственностью организации, и предназначен для использования в системе ."
URL = https://toster.ru/q/462222?e=5738597#comment_1490836

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.2 ; Client Authentication

[BasicConstraintsExtension]
pathlength=0
critical=true

[RequestAttributes]

Данным файлом можно изменить запрос пришедший из openssl с помощью примерно такой команды:
certreq -q -policy in.req policy.inf out.req
Тогда в запрос подтянутся все необходимые политики и можно простой командой выпустить готовый сертификат.
Надеюсь, некоторым администраторам это облегчит жизнь!

Answer 2

[CityCat4]

В клиентских запросах нет атрибутов политик применения. Они появляются в сертификате после его выпуска. Если СА Ваш - используйте нужный шаблон или создайте новый, в котором будет указано нужное число политик.
CSR содержит практически только данные для Subject, которые вписываются в сертификат.
Вот его примерное содержание:

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=RU, ST=*** region, L=***, O=*** Ltd, OU=***, CN=***/emailAddress=certmgr@***.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                ...
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Alternative Name: 
                email:certmgr@***.ru, URI:http://***.ru
    Signature Algorithm: sha256WithRSAEncryption

Там где звездочки понятно будут другие данные, может вообще не быть

Comments

[EvilLord]

К сожалению атрибуты есть, вот пример:

Запрос сертификата PKCS10:
Версия: 1
Субъект:
    CN=ddc.org.srv
    OU=IT
    O=KB
    L=Krasnodar
    S=Krasnodar region
    C=RU

Алгоритм открытого ключа:
    ObjectID алгоритма: 1.2.840.113549.1.1.1 RSA (RSA_SIGN)
    Параметры алгоритма:
    05 00
Длина открытого ключа: 2048 бит
Открытый ключ: UnusedBits = 0
 
	0100  a9 d4 45 6a 35 a3 a4 26  6f 02 03 01 00 01
	0100  a9 d4 45 6a 35 a3 a4 26  6f 02 03 01 00 01
	0100  a9 d4 45 6a 35 a3 a4 26  6f 02 03 01 00 01
	0100  a9 d4 45 6a 35 a3 a4 26  6f 02 03 01 00 01
	0100  a9 d4 45 6a 35 a3 a4 26  6f 02 03 01 00 01

	Запрос атрибутов: 4
  Атрибуты 4:

  Атрибут[0]: 1.3.6.1.4.1.311.13.2.3 (Версия ОС)
    Значение[0][0]:
        6.1.7601.2

  Атрибут[1]: 1.3.6.1.4.1.311.21.20 (Сведения о клиенте)
    Значение[1][0]:
    Неизвестный тип атрибута
    Код клиента: = 5
    ClientIdDefaultRequest -- 5
    Пользователь: org\a63
    Компьютер: DDC.org.srv
    Процесс: InetMgr.exe

  Атрибут[2]: 1.3.6.1.4.1.311.13.2.2 (CSP подачи заявок)
    Значение[2][0]:
    Неизвестный тип атрибута
    Сведения о поставщике криптографии
    KeySpec = 1
    Поставщик = Microsoft RSA SChannel Cryptographic Provider
    Подпись: НеиспользБит=0

  Атрибут[3]: 1.2.840.113549.1.9.14 (Расширения сертификатов)
    Значение[3][0]:
    Неизвестный тип атрибута
Расширения сертификатов: 4
    2.5.29.15: Флаги = 1(Критический), Длина = 4
    Использование ключа
        Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0)

    2.5.29.37: Флаги = 0, Длина = c
    Улучшенный ключ
        Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)

    1.2.840.113549.1.9.15: Флаги = 0, Длина = 6b
    Возможности SMIME
        [1]Возможности SMIME
             Идентификатор объекта=1.2.840.113549.3.2
             Параметры=02 02 00 80
        [2]Возможности SMIME
             Идентификатор объекта=1.2.840.113549.3.4
             Параметры=02 02 00 80
        [3]Возможности SMIME
             Идентификатор объекта=2.16.840.1.101.3.4.1.42
        [4]Возможности SMIME
             Идентификатор объекта=2.16.840.1.101.3.4.1.45
        [5]Возможности SMIME
             Идентификатор объекта=2.16.840.1.101.3.4.1.2
        [6]Возможности SMIME
             Идентификатор объекта=2.16.840.1.101.3.4.1.5
        [7]Возможности SMIME
             Идентификатор объекта=1.3.14.3.2.7
        [8]Возможности SMIME
             Идентификатор объекта=1.2.840.113549.3.7

    2.5.29.14: Флаги = 0, Длина = 16
    Идентификатор ключа субъекта
        16 c8 b2 fd d4 3c cf f9 29 1c a1 e8 9f 01 2e d7 53 0d f1 8d

Алгоритм подписи:
    ObjectID алгоритма: 1.2.840.113549.1.1.5 sha1RSA
    Параметры алгоритма:
    05 00
Подпись: НеиспользБит=0
    0000  25 55 f3 6b 66 65 ec b7  4b fa d4 40 32 08 fe bd
    0000  25 55 f3 6b 66 65 ec b7  4b fa d4 40 32 08 fe bd
    0000  25 55 f3 6b 66 65 ec b7  4b fa d4 40 32 08 fe bd
    0000  25 55 f3 6b 66 65 ec b7  4b fa d4 40 32 08 fe bd

Подпись соответствует открытому ключу
Хеш ИД ключа (rfc-sha1): 16 c8 b2 fd d4 3c cf f9 29 1c a1 e8 9f 01 2e d7 53 0d f1 8d
Хеш ИД ключа (sha1): 82 c2 70 35 c4 ca f4 7a bd 8e 10 4b 56 96 7e d2 c6 5e df 0c

[CityCat4]

EvilLord, это точно запрос на сертификат? Никогда такого не приходилось видеть (наверное потому что сам я CSR всегда на линухе формирую)