¿Cuál es la diferencia entre req_extensions en config y -extensions en la línea de comandos?
El ejemplo de la configuración de OpenSL root ca deLibro de cocina OpenSSL define lo siguiente (p40):
[req]
...
req_extensions = ca_ext
[ca_ext]
...
Más tarde (p43), se genera la clave raíz ca, luego el certificado autofirmado raíz ca.
openssl req -new \
-config root-ca.conf \
-out root-ca.csr \
-keyout private/root-ca.key
openssl ca -selfsign \
-config root-ca.conf \
-in root-ca.csr \
-out root-ca.crt \
-extensions ca_ext
¿No es redundante req_extensions en este caso de uso específico? ¿Cuándo se necesita realmente req_extension?