Gostaria de criar um certificado tsa para o serviço de timestamp.

Primeiro eu crio um certificado raiz

openssl genrsa -out tsaroot.key 4096 -config openssl.cnf
openssl req -new -x509 -days 1826 -key tsaroot.key -out tsaroot.crt -config openssl.cnf

Então eu crio o certificado tsa

openssl genrsa -des3 -out tsa.key 4096 -config openssl.cnf
openssl req -new -key tsa.key -out tsa.csr -config openssl.cnf
openssl x509 -req -days 730 -in tsa.csr -CA tsaroot.crt -CAkey tsaroot.key -set_serial 01 -out tsa.crt
openssl pkcs12 -export -out tsa.p12 -inkey tsa.key -in tsa.crt -chain -CAfile tsaroot.crt

No meu arquivo openssl.cnf, eu adiciono a seguinte linha:

extendedKeyUsage = critical,timeStamping

Howerver, o certificado criado não parece incluir o extendeKeyUsage (quando eu tento lê-lo com bouncy castle eu tenho uma exceção "Certificado deve ter uma extensão ExtendedKeyUsage".

Como posso gerar um certificado tsa válido (com o valor correto de extendedKeyUsage incluído)?

obrigado