Qual é a diferença entre req_extensions em config e -extensions na linha de comando?
A amostra openssl root ca config do diretórioLivro de receitas OpenSSL define o seguinte (p40):
[req]
...
req_extensions = ca_ext
[ca_ext]
...
Posteriormente (p43), a chave ca raiz é gerada e o certificado autoassinado raiz ca.
openssl req -new \
-config root-ca.conf \
-out root-ca.csr \
-keyout private/root-ca.key
openssl ca -selfsign \
-config root-ca.conf \
-in root-ca.csr \
-out root-ca.crt \
-extensions ca_ext
Req_extensions não é redundante nesse caso de uso específico? Quando é realmente necessário req_extension?