我需要一个带有一些额外不常见 EKU 的 SSL 证书(即 1.3.6.1.5.5.8.2.2,“IPSec 中间系统使用”)。自签名证书不是一种选择。有人知道任何允许额外 EKU 的 CA 吗?我联系了 Namecheap、Comodo 和 Godaddy,他们都回复说他们无法颁发证书。
答案1
这基本要求来自 CA/浏览器论坛的扩展密钥用法证书中的值不是标准的。虽然这并非完全禁止,但措辞是这样的,CA 通常希望避免麻烦(参见第 7.1.2.4 节)。
一些根存储(微软)甚至要求 CA 提前明确说明根证书或中间证书可能签名的所有可能的 EKU 值。