【问题标题】:create tsa (timestamping) certificate with openssl - add a extendedKeyUsage in a certificate使用 openssl 创建 tsa(时间戳)证书 - 在证书中添加 extendedKeyUsage
【发布时间】:2012-11-11 15:44:12
【问题描述】:

我想为我的时间戳服务创建一个 tsa 证书。

首先我创建一个根证书

openssl genrsa -out tsaroot.key 4096 -config openssl.cnf
openssl req -new -x509 -days 1826 -key tsaroot.key -out tsaroot.crt -config openssl.cnf

然后我创建 tsa 证书

openssl genrsa -des3 -out tsa.key 4096 -config openssl.cnf
openssl req -new -key tsa.key -out tsa.csr -config openssl.cnf
openssl x509 -req -days 730 -in tsa.csr -CA tsaroot.crt -CAkey tsaroot.key -set_serial 01 -out tsa.crt
openssl pkcs12 -export -out tsa.p12 -inkey tsa.key -in tsa.crt -chain -CAfile tsaroot.crt

在我的 openssl.cnf 文件中,我添加以下行:

extendedKeyUsage = critical,timeStamping

但是,创建的证书似乎不包括extendeKeyUsage(当我尝试使用充气城堡读取它时,我得到一个“证书必须有一个ExtendedKeyUsage 扩展。”异常

如何生成有效的 tsa 证书(包括正确的 extendedKeyUsage 值)?

谢谢

【问题讨论】:

    标签: openssl certificate timestamping


    【解决方案1】:

    尝试以下方法:

    1. openssl.cnf 文件中添加一个命名部分:

      [v3_tsa]
      extendedKeyUsage = critical,timeStamping
      
    2. tsr生成TSA证书时,添加开关-extensions

      openssl x509 -req ... -extensions v3_tsa
      

    【讨论】:

      【解决方案2】:

      以下工作:

      创建一个文件 extKey.cnf,里面有extendedKeyUsage

      extendedKeyUsage = critical,timeStamping
      

      创建请求时添加:

      openssl x509 -req -days 730 -in tsa.csr -CA tsaroot.crt -CAkey tsaroot.key -set_serial 01 -out tsa.crt -extfile extKey.cnf
      

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 2019-10-27
        • 1970-01-01
        • 2019-07-13
        • 2023-04-09
        • 2019-04-30
        • 2013-03-25
        • 1970-01-01
        相关资源
        最近更新 更多