создать сертификат tsa (отметка времени) с помощью openssl - добавить в сертификат extendedKeyUsage

Я хотел бы создать сертификат tsa для службы отметки времени.

Сначала я создаю корневой сертификат

openssl genrsa -out tsaroot.key 4096 -config openssl.cnf
openssl req -new -x509 -days 1826 -key tsaroot.key -out tsaroot.crt -config openssl.cnf

Затем я создаю сертификат tsa

openssl genrsa -des3 -out tsa.key 4096 -config openssl.cnf
openssl req -new -key tsa.key -out tsa.csr -config openssl.cnf
openssl x509 -req -days 730 -in tsa.csr -CA tsaroot.crt -CAkey tsaroot.key -set_serial 01 -out tsa.crt
openssl pkcs12 -export -out tsa.p12 -inkey tsa.key -in tsa.crt -chain -CAfile tsaroot.crt

В моем файле openssl.cnf я добавляю следующую строку:

extendedKeyUsage = critical,timeStamping

Однако созданный сертификат, похоже, не включает в себя extendeKeyUsage (когда я пытаюсь прочитать его с помощью надувного замка, я получаю исключение «Сертификат должен иметь расширение ExtendedKeyUsage».)

Как я могу сгенерировать действительный сертификат tsa (с включенным правильным значением extendedKeyUsage)?

Спасибо


certificate openssl timestamping
person Quentin    schedule 11.11.2012    source источник

Ответы (2)


arrow_upward
3
arrow_downward

Попробуйте следующее:

  1. Добавьте именованный раздел в файл openssl.cnf:

    [v3_tsa]
extendedKeyUsage = critical,timeStamping

  2. При создании сертификата TSA из tsr добавьте переключатель -extensions:

    openssl x509 -req ... -extensions v3_tsa
person mrucci    schedule 12.11.2012

arrow_upward
3
arrow_downward

Сработало следующее:

создайте файл extKey.cnf с расширенным ключом использования внутри

extendedKeyUsage = critical,timeStamping

Добавьте его при создании запроса:

openssl x509 -req -days 730 -in tsa.csr -CA tsaroot.crt -CAkey tsaroot.key -set_serial 01 -out tsa.crt -extfile extKey.cnf
person Quentin    schedule 13.12.2012