如何使用“`certtool`”制作CA证书？

Question

我可以使用openssl命令创建一个自签名CA证书，方法是将行basicConstraints = critical,CA:true放在配置文件的适当部分，并使用它：

openssl req -new -x509 -config myconfig.cnf ...

但是我很难使用certtool命令来做同样的事情。似乎我应该能够将同一行添加到通过--template=FILE开关传递的模板文件中，但这一行没有被识别。

我发现basicConstraints是OID 2.5.29.19 (在idy-info.com上)，所以我应该可以添加如下一行：add_extension = "2.5.29.19 critical,CA:true"。但这也失败了。显然，OID后面的参数必须是数字的。

查看RFC2459第119页上的代码，我认为这个字符串可能会工作。语法已被接受，但仍未生成CA：add_extension = "2.5.29.19 0xff010103300504ff0101"

那么，如何使certtool插入扩展critical,CA:true来创建CA证书？

Answer 1

交互地，在运行certtool --generate-self-signed …时，您只需正面回答问题Does the certificate belong to an authority? (y/N)。

在模板中，可以添加ca键，如手册页所述：

# Whether this is a CA certificate or not
ca