RUDE

OpenSSL-Erweiterungen zum CA-Zertifikat

Ich verwende OpenSSL v1.1.1g und versuche, Erweiterungen zu meinem selbstsignierten CA-Zertifikat hinzuzufügen, indem ich das folgende Fledermaus-Skript verwende:

rem #Create CSR
openssl req -newkey rsa:4096 -keyout ca-key.pem -out ca.csr -subj "..." -addext "keyUsage = cRLSign, digitalSignature, keyCertSign"
rem #Sign it
openssl x509 -signkey ca-key.pem -in ca.csr -req -days 365 -out ca-cert.pem -extfile extensions.cnf
pause

Dies ist der Inhalt von extensions.cnf:

subjectAltName=DNS:localhost,IP:0.0.0.0,IP:127.0.0.1
crlDistributionPoints = URI:http://localhost:4444/crl.crl
keyUsage = cRLSign, digitalSignature, keyCertSign
basicConstraints=critical,CA:true,pathlen:0

Es scheint, dass weder -addex noch -extfile dem Zertifikat eine Schlüsselverwendung hinzufügen, aber crlDistributionPoints und basicConstraints funktionieren. Kann jemand eine Lösung posten, wie man Keyusage-Inhalte über ähnliche Befehlszeilenbefehle hinzufügt? Ich möchte die openssl.cnf nicht bearbeiten.

BEARBEITEN: Bild des CA-Zertifikats hinzugefügt CAcert


42
1

Antwort:

Gelöst

Es scheint, dass der Grund für all diesen Irrsinn meine Abneigung gegen openssl.cnf war. Die Standardkonfiguration wurde im Hintergrund verwendet und ich musste nur eine minimale Konfiguration selbst erstellen, anstatt die Standardkonfiguration zu verwenden.