Certificate如何使用
如何使用 certtool
製作 CA 證書?
openssl
我可以通過將行basicConstraints = critical,CA:true
放在配置文件的適當部分並使用它來使用命令製作自簽名 CA 證書:openssl req -new -x509 -config myconfig.cnf ...
但是我在使用該
certtool
命令做同樣的事情時遇到了困難。似乎我應該能夠將同一行添加到通過--template=FILE
開關傳遞的模板文件中,但該行無法辨識。我發現
basicConstraints
是 OID 號2.5.29.19
(在 oid-info.com),所以我應該能夠添加這樣的一行:add_extension = "2.5.29.19 critical,CA:true"
. 但這也失敗了。顯然 OID 後面的參數必須是數字。查看RFC2459第 119 頁上的程式碼,我認為這個字元串可能有效。語法被接受,但仍然不產生 CA:
add_extension = "2.5.29.19 0xff010103300504ff0101"
那麼如何進行
certtool
插入擴展critical,CA:true
來創建 CA 證書呢?
互動式地,在跑步時
certtool --generate-self-signed …
,您只需正面回答問題Does the certificate belong to an authority? (y/N)
。在模板中,您可以添加
ca
密鑰,如手冊頁所述:# Whether this is a CA certificate or not ca