示例 openssl root ca 配置来自OpenSSL 食谱定义如下(p40):
[req]
...
req_extensions = ca_ext
[ca_ext]
...
稍后(p43),生成根 ca 密钥,然后生成根 ca 自签名证书。
openssl req -new \
-config root-ca.conf \
-out root-ca.csr \
-keyout private/root-ca.key
openssl ca -selfsign \
-config root-ca.conf \
-in root-ca.csr \
-out root-ca.crt \
-extensions ca_ext
在这个特定的用例中 req_extensions 不是多余的吗?
什么时候真正需要 req_extension ?
req_extensions
用于声明请求扩展包含在 PKCS #10 中证书签名请求(企业社会责任)对象。扩展是 CSR 中签名数据的一部分。
一般来说,CA 在创建和签署 X.509 证书以响应 CSR 时,根据证书配置文件,可能会也可能不会注意特定的请求扩展。您将需要使用它来生成 CSR,以便与希望以这种方式传达特定信息的 CA 一起使用。
OpenSSL 本身不复制any从 PKCS #10 请求到 X.509 证书的扩展;证书的所有扩展都必须明确声明。 OpenSSLx509手册页提供一些评论:
证书中的扩展不会传输到证书请求,反之亦然。
因为您使用的是 OpenSSL CA,所以使用req_extensions
确实是多余的。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)