Estoy teniendo problemas al utilizar openssl para crear un certificado x509 que contiene un punto de distribución de crl para las pruebas.

He revisado la documentación y he encontrado la configuración crlDistributionPoints para este propósito. Desafortunadamente, openssl siempre genera certificados x509 versión 1 sin certificados de la versión 3 con el punto de distribución crl. Estoy seguro de que algo anda mal con mi comando o la configuración, pero leer la documentación cuidadosamente y jugar con la configuración no sirvió de nada. Se consideran otras configuraciones del archivo de configuración, así que estoy seguro de que openssl utiliza el archivo en sí.

Estoy usando el comando

openssl x509 -req -in $NAME.csr -out certs/$NAME.pem -days 3650 -CAcreateserial -CA cacert.pem -CAkey private/cakey.pem -CAserial serial

Estoy usando el siguiente archivo de configuración:

[ ca ]
default_ca              = CA_default

[ CA_default ]

dir                     = /home/ca
database                = $dir/index.txt
new_certs_dir           = $dir/newcerts

certificate             = $dir/cacert.pem
serial                  = $dir/serial
private_key             = $dir/private/cakey.pem
RANDFILE                = $dir/private/.rand

default_days            = 3650
default_crl_days        = 30
default_md              = md5

policy                  = policy_any
email_in_dn             = no

name_opt                = ca_default
cert_opt                = ca_default
copy_extensions         = none

x509_extensions         = extensions_section

[ extensions_section ]

crlDistributionPoints=URI:http://example.com/crl.pem

[ policy_any ]
countryName             = supplied
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

¿Algunas ideas?