Я могу сделать самозаверяющий сертификат ЦС с openssl
команду, поместив строку basicConstraints = critical,CA:true
в соответствующем разделе файла конфигурации и используя его:
openssl req -new -x509 -config myconfig.cnf ...
Но мне трудно сделать то же самое, используя certtool
вместо этого. Похоже, я смогу добавить ту же строку в файл шаблона, переданный через --template=FILE
переключатель, но эта линия не распознается.
я нашел basicConstraints
это номер OID 2.5.29.19
(на oid-info.com), поэтому я смогу добавить такую строку: add_extension = "2.5.29.19 critical,CA:true"
. Но это тоже не удается. Видимо параметр после OID должен быть числовым.
Взглянув на коды на странице 119 RFC2459, Я думал, эта строка может работать. Синтаксис принят, но ЦС по-прежнему не создается: add_extension = "2.5.29.19 0xff010103300504ff0101"
Итак, как я могу сделать certtool
вставить расширение critical,CA:true
создать сертификат CA?
В интерактивном режиме при запуске certtool --generate-self-signed …
, вы просто ответите положительно на вопрос Does the certificate belong to an authority? (y/N)
.
В шаблоне вы можете добавить ca
ключ, как сказано на странице руководства:
# Whether this is a CA certificate or not
ca