Ich verwende OpenSSL v1.1.1g und versuche, Erweiterungen zu meinem selbstsignierten CA-Zertifikat hinzuzufügen, indem ich das folgende Fledermaus-Skript verwende:
rem #Create CSR
openssl req -newkey rsa:4096 -keyout ca-key.pem -out ca.csr -subj "..." -addext "keyUsage = cRLSign, digitalSignature, keyCertSign"
rem #Sign it
openssl x509 -signkey ca-key.pem -in ca.csr -req -days 365 -out ca-cert.pem -extfile extensions.cnf
pause
Dies ist der Inhalt von extensions.cnf:
subjectAltName=DNS:localhost,IP:0.0.0.0,IP:127.0.0.1
crlDistributionPoints = URI:http://localhost:4444/crl.crl
keyUsage = cRLSign, digitalSignature, keyCertSign
basicConstraints=critical,CA:true,pathlen:0
Es scheint, dass weder -addex noch -extfile dem Zertifikat eine Schlüsselverwendung hinzufügen, aber crlDistributionPoints und basicConstraints funktionieren. Kann jemand eine Lösung posten, wie man Keyusage-Inhalte über ähnliche Befehlszeilenbefehle hinzufügt? Ich möchte die openssl.cnf nicht bearbeiten.
BEARBEITEN: Bild des CA-Zertifikats hinzugefügt CAcert