openssl
我可以通过将该行放在basicConstraints = critical,CA:true
配置文件的相应部分并使用它,用该命令创建自签名 CA 证书:
openssl req -new -x509 -config myconfig.cnf ...
但是使用命令执行相同操作时遇到了困难certtool
。似乎我应该能够将同一行添加到通过开关传递的模板文件中--template=FILE
,但该行无法识别。
我在 oid-info.com 上找到了basicConstraints
OID 编号2.5.29.19
,因此我应该能够添加如下一行:add_extension = "2.5.29.19 critical,CA:true"
。但这也失败了。显然,OID 后面的参数必须是数字。
查看第 119 页的代码RFC2459,我认为这个字符串可能有效。语法被接受,但仍然没有产生 CA:add_extension = "2.5.29.19 0xff010103300504ff0101"
那么我该如何certtool
插入扩展critical,CA:true
来创建 CA 证书?
答案1
交互上,运行时certtool --generate-self-signed …
你只要对问题做出肯定的回答即可Does the certificate belong to an authority? (y/N)
。
在模板中,您可以添加ca
密钥,如手册页所述:
# Whether this is a CA certificate or not
ca