RUDE

Расширения OpenSSL для сертификата CA

Я использую OpenSSL v1.1.1g и пытаюсь добавить расширения в свой самоподписанный сертификат CA, используя следующий скрипт bat:

rem #Create CSR
openssl req -newkey rsa:4096 -keyout ca-key.pem -out ca.csr -subj "..." -addext "keyUsage = cRLSign, digitalSignature, keyCertSign"
rem #Sign it
openssl x509 -signkey ca-key.pem -in ca.csr -req -days 365 -out ca-cert.pem -extfile extensions.cnf
pause

Это содержимое extensions.cnf:

subjectAltName=DNS:localhost,IP:0.0.0.0,IP:127.0.0.1
crlDistributionPoints = URI:http://localhost:4444/crl.crl
keyUsage = cRLSign, digitalSignature, keyCertSign
basicConstraints=critical,CA:true,pathlen:0

Кажется, что ни -addext, ни -extfile не добавляют ключ к сертификату, но crlDistributionPoints и basicConstraints работают. Может ли кто-нибудь опубликовать решение, как добавить содержимое keyusage с помощью аналогичных команд командной строки? Я не хочу редактировать openssl.cnf.

Обновлено: добавлено изображение сертификата CA САсерт


42
1

Ответ:

Решено

Похоже, причиной всего этого чудачества была моя неприязнь к openssl.cnf. Конфигурация по умолчанию использовалась в фоновом режиме, и мне просто пришлось создать минимальную конфигурацию самостоятельно, а не использовать настройку по умолчанию.