我正在尝试使用 openssl(版本 1.0.1.e)在 CSR 中添加“证书策略”扩展。
是允许证书请求者处理证书策略还是只有 CA 可以处理?
基于文件
openssl/demos/x509/openssl/demos/x509/mkreq.c
中的函数mkreq()
,我添加了以下行:add_ext(exts, NID_certificate_policies, "1.3.6.1");
不幸的是,它会导致段错误。 语法正确吗?知道出了什么问题吗?
最佳答案
是的,证书请求者可以插入证书策略或任何其他扩展。但证书颁发机构可能会验证该请求或拒绝它。
默认情况下,openssl 配置文件 openssl.cnf 包含以下 CRS 扩展设置:
[ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment
为了支持certificate_policies扩展,“certificatePolicies”设置have to be added in this section .
关于openssl - 在 CSR 中添加证书策略扩展,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18696185/