Certificate

如何使用 certtool 製作 CA 證書?

  • June 8, 2020

openssl我可以通過將行basicConstraints = critical,CA:true放在配置文件的適當部分並使用它來使用命令製作自簽名 CA 證書:

openssl req -new -x509 -config myconfig.cnf ...

但是我在使用該certtool命令做同樣的事情時遇到了困難。似乎我應該能夠將同一行添加到通過--template=FILE開關傳遞的模板文件中,但該行無法辨識。

我發現basicConstraints是 OID 號2.5.29.19(在 oid-info.com),所以我應該能夠添加這樣的一行:add_extension = "2.5.29.19 critical,CA:true". 但這也失敗了。顯然 OID 後面的參數必須是數字。

查看RFC2459第 119 頁上的程式碼,我認為這個字元串可能有效。語法被接受,但仍然不產生 CA:add_extension = "2.5.29.19 0xff010103300504ff0101"

那麼如何進行certtool插入擴展critical,CA:true來創建 CA 證書呢?

互動式地,在跑步時certtool --generate-self-signed …,您只需正面回答問題Does the certificate belong to an authority? (y/N)

在模板中,您可以添加ca密鑰,如手冊頁所述:

# Whether this is a CA certificate or not
ca

引用自:https://serverfault.com/questions/1020249