Добавление расширения политик сертификатов в CSR

Question

Я пытаюсь добавить расширение «политики сертификатов» в CSR с помощью openssl (версия 1.0.1.e).

1) Является ли реквестер документов разрешенным заниматься политиками сертификатов или только CA должен это делать?

2) На основе функции mkreq() в файле OpenSSL/демки/x509/OpenSSL/демки/x509/mkreq.c, я добавил следующую строку:

add_ext(exts, NID_certificate_policies, "1.3.6.1"); 

К сожалению, это приводит к ошибке сегментации , Правильно ли синтаксис? Вы знаете, что не так?

Благодаря

Answer 1

1) Да, сертификат запрашивающая разрешается вставить политику сертификата или любое другое расширение. Но Центр сертификации может подтвердить запрос или отклонить его.

2) По умолчанию файл конфигурации OpenSSL, openssl.cnf, включает в себя следующие настройки для расширения CRS:

[ v3_req ] 

# Extensions to add to a certificate request 

basicConstraints = CA:FALSE 
keyUsage = nonRepudiation, digitalSignature, keyEncipherment 

Для того, чтобы поддержать расширение certificate_policies, «certificatePolicies» настройки должны быть добавлены в этом разделе , См. Пример: http://www.openssl.org/docs/apps/x509v3_config.html