Как создать сертификат, используя openssl, включая точку распространения CRL?

У меня проблемы с использованием openssl для создания сертификата x509, содержащего точку распространения crl для тестирования.

Я проверил документацию и нашел для этой цели параметр конфигурации crlDistributionPoints. К сожалению, openssl всегда генерирует сертификаты x509 версии 1 без сертификатов версии 3 с точкой распространения crl. Я уверен, что что-то не так с моей командой или конфигурацией, но чтение документации и изучение конфигурации не помогли. Рассматриваются другие параметры из файла конфигурации, поэтому я уверен, что сам файл используется openssl.

Я использую команду

openssl x509 -req -in $NAME.csr -out certs/$NAME.pem -days 3650 -CAcreateserial -CA cacert.pem -CAkey private/cakey.pem -CAserial serial

Я использую следующий файл конфигурации:

[ ca ]
default_ca              = CA_default

[ CA_default ]

dir                     = /home/ca
database                = $dir/index.txt
new_certs_dir           = $dir/newcerts

certificate             = $dir/cacert.pem
serial                  = $dir/serial
private_key             = $dir/private/cakey.pem
RANDFILE                = $dir/private/.rand

default_days            = 3650
default_crl_days        = 30
default_md              = md5

policy                  = policy_any
email_in_dn             = no

name_opt                = ca_default
cert_opt                = ca_default
copy_extensions         = none

x509_extensions         = extensions_section

[ extensions_section ]

crlDistributionPoints=URI:http://example.com/crl.pem

[ policy_any ]
countryName             = supplied
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

Есть идеи?

Ответы на вопрос(1)

Ваш ответ на вопрос