SCEP &扩展证书属性

Question

我正在使用SCEP为我的webservice创建证书。在成功创建证书和启动服务器之后，我尝试通过浏览器访问wsdl，该浏览器显示一条错误消息，该错误消息表明，此应用程序不允许使用证书类型，错误代码: sec_error_inadequate_cer_type。一位同事指出，我必须将扩展密钥属性中的密钥用法更改为“服务器身份验证”，并且应该在认证请求中进行。

为了创建一个新的请求，我正在使用赏金城堡。请参阅下面的代码片段：

    PKCS10CertificationRequestBuilder builder = new PKCS10CertificationRequestBuilder(subject, pkInfo);
    builder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_challengePassword, new DERPrintableString(challengePassword));

    return builder.build(signer);

现在的问题是，我没有找到关于如何在请求中添加类似内容的文档。我发现的唯一一件事是，我很可能必须向构建器添加一个带有对象标识符"PKCSObjectIdentifiers.pkcs_9_at_extendedCertificateAttributes"：的其他属性。

    builder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_extendedCertificateAttributes, ??? );

但是，应该将什么传递给构建器的addAttribute-方法，以便请求的证书将扩展证书属性设置为“服务器身份验证”？

我做了一些研究，但没有找到任何文件或例子，为我提供了一些有用的答案。

一些信息:我正在使用JSCEP和赏金城堡1.48

我希望有人能帮我找到解决办法。提前谢谢。

Answer 1

扩展的证书属性是不推荐的，但是还有另一个名为https://www.rfc-editor.org/rfc/rfc2985#page-17的https://www.rfc-editor.org/rfc/rfc2985#page-17属性，它可以包含调用方希望包含在证书中的某个扩展。

extensionRequest属性类型可用于携带有关请求者希望包含在证书中的证书扩展的信息。

当然，证书颁发机构必须支持该属性，并且可以根据其证书策略忽略它。

要将此属性包含在CSR中，可以使用以下代码(未经测试)：

KeyUsage ku = new KeyUsage(KeyUsage.digitalSignature);
Extension kuExt = new Extension(Extension.keyUsage, true, ku.getEncoded());
ExtendedKeyUsage eku = new ExtendedKeyUsage(KeyPurposeId.id_kp_serverAuth);
Extension ekuExt = new Extension(Extension.extendedKeyUsage, true, eku.getEncoded());
Extensions exts = new Extensions(new Extension[] {kuExt, ekuExt});
builder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_extensionRequest, exts);