Openssl x509v3 Étendu l'Utilisation de la Clé
Je sais que vous pouvez spécifier le but pour lequel un certificat de clé publique peut être utilisé par l'ajout d'une ligne de ce genre dans le openssl.cfg fichier:
extendedKeyUsage=serverAuth,clientAuth
Mais depuis que j'ai plusieurs certificats pour créer, chacune avec une autre étendue d'utilisation de la clé, est-il possible d'indiquer l'attribut dont j'ai besoin dans la ligne de commande (sans l'aide d'openssl.fichier cfg)? Quelque chose comme:
openssl req -newkey rsa:4096 \
-extendedKeyUsage "serverAuth,clientAuth" \
-keyform PEM \
-keyout server-key.pem \
-out server-req.csr \
-outform PEM
Merci!
Vous devez vous connecter pour publier un commentaire.
Vous ne pouvez utiliser quelque chose comme ceci:
et maconfig.cnf:
Je ne suis pas au courant de l'interface de ligne de commande pour cette fonctionnalité.
unable to find 'distinguished_name' in config
Ce que j'ai fini par faire, c'est la création de plusieurs openssl.cfg fichiers et reportez-vous à la appropriée à l'aide de l' -config ou la -extfile commutateur.
le même que le traitement de SAN
openssl req -subj "/CN=client" -sha256 -new -key client-key.pem -out client.csr\
-reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:example.com,DNS:www.example.com\nextendedKeyUsage=serverAuth,clientAuth"))