Tworzenie certyfikatu użytkownika x509 v3 przez podpisanie CSR

Question

W jaki sposób podpisać zgłoszenie CSR za pomocą openssl, ale certyfikat wyniku to x509 v1, a nie v3.

Używam następujące polecenia:

x509 -req -days 365 -in myCSR.csr -CA myCA.crt -CAkey myCA.key -CAcreateserial -out userCertificate.crt 

Szukałem, ale nie udało się znaleźć rozwiązanie. Czy istnieje inny sposób, aby to zrobić programowo?

Answer 1

Musisz podać plik rozszerzeń.

Na przykład:

openssl x509 -days 365 -in myCSR.csr -extfile v3.ext -CA myCA.crt -CAkey myCA.key -CAcreateserial -out userCertificate.crt 

Plik rozszerzenia (v3.ext) może wyglądać następująco:

authorityKeyIdentifier=keyid,issuer 
basicConstraints=CA:FALSE 
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment