Как установить атрибут использования с помощью keytool

Question

Когда я смотрю на класс сертификата X509 в java.security.cert, у него есть такие методы, как getExtendedKeyUsage() и getKeyUsage().Есть ли способ установить эти значения с помощью keytool?

Answer 1

В Java 7 есть новая опция -ext для keytool.Проверьте таблицу в документации -ext, в частности параметры KU и EKU.

Обратите внимание, что обычно вы можете использовать хранилище ключей, созданное / обработанное в Java 7 keytool, с другимиверсии JRE (включая Java 6).

Конечно, это будет работать только для генерируемых вами запросов на сертификаты (в этом случае используемый вами CA может выбрать игнорирование или изменение части содержимого вашего CSR)или сертификаты, которые вы выдаете (например, где вы CA).Вы не сможете изменить существующие сертификаты.

Answer 2

Опция выглядит как keytool -ext EKU = codeSigning Но я лично еще не пробовал.

Answer 3

Если есть, я никогда не видел его, и я только что проверил с JDK (хотя очень маловероятно). Обратите внимание, что использование ключа должно быть подписанным атрибутом (а также критическим расширением), поэтому изменение его, как правило, не будет работать, поскольку нарушит сигнатуру выдающего ЦС. Его можно изменить для конкретного приложения (и атрибута, хранящегося отдельно, но это не функция в хранилищах ключей Java, и не будет, потому что он будет несовместим со стандартом X509.