签名时更改 x509 证书属性（即组织）

Question

我已经使用 OpenSSL 构建了一个内部签名 CA。

我的签名策略需要 MATCH 的某些属性，包括组织名称

[ match_pol ]
organizationName        = supplied  # Must match 'Company ABC'
organizationalUnitName  = optional  # Included if present
commonName              = supplied  # Must be present
countryName             = supplied  # Must be present

我从别人那里得到的一些 CSR 没有正确的组织名称（错字等）

我能否在返回签名证书之前修改组织名称（或其他属性），使其与我想要的名称匹配，而不必拒绝并要求用户提供新的 CSR？

根据个人经验，我知道我上传到 DigiCert 的 CSR 可以包含任何值，并且返回的签名证书将具有已获批准的正确 EV/OV 名称。

Answer 1

如果您使用 ca 工具 (openssl ca) 来操作您的 CA，那么您可以使用 -subj 选项覆盖请求中的主题：

-subj arg
取代请求中给出的主题名称。 arg 必须格式化为 /type0=value0/type1=value1/type2=...，字符可以用 \（反斜杠）转义，不跳过空格。

结合以下选项来配置扩展名（包括主题备用名称），您应该能够修改所有属性和扩展名：

-扩展部分
包含证书扩展的配置文件部分在颁发证书时添加（默认为 x509_extensions，除非使用 -extfile 选项）。如果不存在扩展部分，则创建 V1 证书。如果扩展部分存在（即使它是空的），则会创建 V3 证书。有关扩展节格式的详细信息，请参阅 x509v3_config(5) 手册页。

并且，可能：

-extfile 文件
用于读取证书扩展名的附加配置文件（使用默认部分，除非还使用了 -extensions 选项）。