subjectaltname - Openssl x509v3 uso de clave extendida
sign certificate with ca (3)
Lo que terminé haciendo es crear varios archivos openssl.cfg diferentes y referirme al adecuado usando el interruptor -config o -extfile .
Sé que puede especificar el propósito para el cual se puede usar una clave pública de certificado agregando una línea como esta en el archivo openssl.cfg :
extendedKeyUsage=serverAuth,clientAuth
Pero como tengo que crear varios certificados, cada uno con un uso de clave extendida diferente, ¿es posible especificar qué atributo necesito en la línea de comandos (sin usar el archivo openssl.cfg)? Algo como:
openssl req -newkey rsa:4096 /
-extendedKeyUsage "serverAuth,clientAuth" /
-keyform PEM /
-keyout server-key.pem /
-out server-req.csr /
-outform PEM
¡Gracias!
Solo puedes usar algo como esto:
openssl -extensions mysection -config myconfig.cnf
y myconfig.cnf:
[mysection]
keyUsage = digitalSignature
extendedKeyUsage = codeSigning
No tengo conocimiento de la interfaz de línea de comandos para esta funcionalidad.
de la misma manera que procesa SAN openssl req -subj "/CN=client" -sha256 -new -key client-key.pem -out client.csr/ -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "/n[SAN]/nsubjectAltName=DNS:example.com,DNS:www.example.com/nextendedKeyUsage=serverAuth,clientAuth"))