Me gustaría crear un certificado tsa para mi servicio de sellado de tiempo.

Primero creo un certificado raíz

openssl genrsa -out tsaroot.key 4096 -config openssl.cnf
openssl req -new -x509 -days 1826 -key tsaroot.key -out tsaroot.crt -config openssl.cnf

Entonces creo el certificado tsa

openssl genrsa -des3 -out tsa.key 4096 -config openssl.cnf
openssl req -new -key tsa.key -out tsa.csr -config openssl.cnf
openssl x509 -req -days 730 -in tsa.csr -CA tsaroot.crt -CAkey tsaroot.key -set_serial 01 -out tsa.crt
openssl pkcs12 -export -out tsa.p12 -inkey tsa.key -in tsa.crt -chain -CAfile tsaroot.crt

En mi archivo openssl.cnf, agrego la siguiente línea:

extendedKeyUsage = critical,timeStamping

Por lo tanto, el certificado creado no parece incluir el extendeKeyUsage (cuando intento leerlo con el castillo hinchable obtuve un "El certificado debe tener una extensión ExtendedKeyUsage").

¿Cómo puedo generar un certificado tsa válido (con el valor de extendedKeyUsage correcto incluido)?

Gracias