Powershell создает новый самозаверяющий сертификат.Сертификат корневого CA: extendedKeyUsage НЕ ДОЛЖЕН присутствовать.

Question

В настоящее время я создаю сертификат RootCA и SAN с использованием powershell.Теперь все работает так, как должно, только кажется, что некоторые браузеры довольно строги, когда дело доходит до доверия сертификату.В настоящее время я получаю последнюю ошибку при запуске моего сертификата через линтер (в данном случае Z-lint).

ОШИБКА zlint Сертификат корневого ЦС: extendedKeyUsage НЕ ДОЛЖЕН присутствовать. T

Теперьошибка довольно очевидна ... extendedKeyUsage не должен присутствовать в моей команде powershell при создании моего RootCA

Однако я использую только -keyUsage в моей команде.Я не совсем уверен, что мне нужно настроить для моей команды, чтобы удалить ошибку.

$rootCert = New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\My -keyUsage KeyEncipherment,DigitalSignature,CrlSign,CertSign -Subject "CN=AgionRootCA, OU=supplied, O=supplied, C=supplied, L=supplied, S=supplied"  -TextExtension @("1.3.6.1.4.1.311.21.10={text}1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2", "2.5.29.19={text}CA=true","2.5.29.37={text}1.3.6.1.4.1.311.10.12.1")

После выполнения ->

При просмотре документов Microsoft для командлета New-SelfSignedCertificate говорится следующее о переключателе -KeyUsage:

Указывает использование ключа, установленное в расширении использования ключа сертификата.Допустимые значения для этого параметра:

• CertSign
• CRLSign
• DataEncipherment
• DecipherOnly
• DigitalSignature
• EncipherOnly
• KeyAgreement
• KeyEncipherment
• Нет (по умолчанию)
• NonRepudiation

Значение по умолчанию, None, указываетчто этот командлет не включает расширение KeyUsage в новый сертификат.Таким образом, может показаться, что если вы хотите, чтобы extendedKeyUsage НЕ присутствовал, вам нужно изменить -keyUsage KeyEncipherment, DigitalSignature, CrlSign, CertSign на -keyUsage None, что будет значением по умолчанию, если вы вообще не включите переключатель.

Количество сообщений об ошибках увеличилось, указав, что мне нужен обычный -KeyUsage, но не -extendedKeyUsage

Сообщения об ошибках:

zlint ОШИБКА корневого и подчиненного сертификата CA расширение keyUsage crlSignбит ДОЛЖЕН быть установлен zlint ОШИБКА Root CA Сертификат: ДОЛЖНЫ быть установлены позиции битов для keyCertSign и cRLSign.
zlint ОШИБКА Root CA Сертификат: extendedKeyUsage НЕ ДОЛЖЕН присутствовать. t

Answer 1

Ну, мне удалось решить проблему.В своей команде Powershell я добавил OID 2.5.29.37 в конце, и, очевидно, OID 2.5.29.37 - это ExtendedKeyUsage.Поэтому я продолжал получать эту проблему.Закрыто!

Больше информации по этому вопросу Самозаверяющие сертификаты