utwórz certyfikat tsa (znacznik czasu) z openssl - dodaj element extendedKeyUs w certyfikacie

Question

Chciałbym utworzyć certyfikat tsa dla mojej usługi sygnatur czasowych.

Najpierw utworzyć certyfikat główny

openssl genrsa -out tsaroot.key 4096 -config openssl.cnf 
openssl req -new -x509 -days 1826 -key tsaroot.key -out tsaroot.crt -config openssl.cnf 

Potem utworzyć certyfikat TSA

openssl genrsa -des3 -out tsa.key 4096 -config openssl.cnf 
openssl req -new -key tsa.key -out tsa.csr -config openssl.cnf 
openssl x509 -req -days 730 -in tsa.csr -CA tsaroot.crt -CAkey tsaroot.key -set_serial 01 -out tsa.crt 
openssl pkcs12 -export -out tsa.p12 -inkey tsa.key -in tsa.crt -chain -CAfile tsaroot.crt 

W moim pliku openssl.cnf, i dodać następujący wiersz:

extendedKeyUsage = critical,timeStamping 

Howerver, utworzony certyfikat nie zawiera rozszerzenia extendeKeyUsage (gdy próbuję go odczytać za pomocą dmuchanego kółka stle mam "Certyfikat musi mieć rozszerzenie ExtendedKeyUsage." wyjątek

Jak mogę wygenerować ważny certyfikat tsa (z poprawną wartością extendedKeyUsage uwzględnioną)?

Dzięki

Answer 1

Poniżej pracował:

stworzyć extKey.cnf plików z extendedKeyUsage wewnątrz

extendedKeyUsage = critical,timeStamping 

Dodaj go przy tworzeniu żądanie:

openssl x509 -req -days 730 -in tsa.csr -CA tsaroot.crt -CAkey tsaroot.key -set_serial 01 -out tsa.crt -extfile extKey.cnf 

Answer 2

Spróbuj z następujących czynności:

1. Dodaj nazwie sekcję w pliku openssl.cnf:

   [v3_tsa] 
   extendedKeyUsage = critical,timeStamping 
   

2. Podczas generowania certyfikatu TSA z tsr, dodać przełącznik -extensions:

   openssl x509 -req ... -extensions v3_tsa