Ich habe Probleme mit openssl, um ein x509-Zertifikat zu erstellen, das einen CRL-Verteilungspunkt zum Testen enthält.

Ich habe die Dokumentation überprüft und die Konfigurationseinstellung crlDistributionPoints für diesen Zweck gefunden. Leider generiert openssl immer x509-Zertifikate der Version 1 ohne Zertifikate der Version 3 mit dem crl-Verteilungspunkt. Ich bin mir sicher, dass etwas mit meinem Befehl oder der Konfiguration nicht stimmt, aber es hat nicht geholfen, die Dokumentation sorgfältig zu lesen und mit der Konfiguration herumzuspielen. Andere Einstellungen aus der Konfigurationsdatei werden berücksichtigt, daher bin ich sicher, dass die Datei selbst von openssl verwendet wird.

Ich benutze den Befehl

openssl x509 -req -in $NAME.csr -out certs/$NAME.pem -days 3650 -CAcreateserial -CA cacert.pem -CAkey private/cakey.pem -CAserial serial

Ich verwende die folgende Konfigurationsdatei:

[ ca ]
default_ca              = CA_default

[ CA_default ]

dir                     = /home/ca
database                = $dir/index.txt
new_certs_dir           = $dir/newcerts

certificate             = $dir/cacert.pem
serial                  = $dir/serial
private_key             = $dir/private/cakey.pem
RANDFILE                = $dir/private/.rand

default_days            = 3650
default_crl_days        = 30
default_md              = md5

policy                  = policy_any
email_in_dn             = no

name_opt                = ca_default
cert_opt                = ca_default
copy_extensions         = none

x509_extensions         = extensions_section

[ extensions_section ]

crlDistributionPoints=URI:http://example.com/crl.pem

[ policy_any ]
countryName             = supplied
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

Irgendwelche Ideen?