Мета: это OpenSSL, но не Mac специально. Большинство вещей, для которых используется OpenSSL, связаны с безопасностью. Я бы предложил пометить openssl.
Многие из параметров в конфигурационном файле OpenSSL, который по умолчанию платформы в зависимости от местоположения, как тот, который вы укажете, но могут быть переопределены, по умолчанию используются только в reqи caутилитами, последний из которых был создан именно минимальный CA и выдавать сертификаты. Основная задача x509утилиты - отображать, проверять и преобразовывать сертификаты; выдача сертификата с x509 -req -CA [-CAkey]является надстройкой, которая не имеет всех функций ca. В частности, он добавляет расширения, только если вы укажете в командной строке, а не в файле конфигурации. (И это не может переносить расширения из CSR вообще, хотя это, кажется, не проблема для вас.)
Решения: используйте caс необходимыми настройками в файле конфигурации или используйте x509 -req -CA [-CAkey]с -extfile [-extensions]указанием на файл или раздел файла с желаемыми расширениями - возможно, но не обязательно, в стандартный файл конфигурации.
Кроме того: 365 дней - это довольно короткий срок действия сертификата CA. Я думаю, что вы хотите SAN email:copyвместо того, moveпотому что один сертификат SMIME, который я использовал лично (пробная версия от Comodo), содержит мою электронную почту как в Subject, так и в SAN. Вы, вероятно, не нуждаетесь nonRepudiationв (основном) KU; у моего сертификата его нет, и в целом идея о том, что подписи с открытыми ключами могут поддерживать отказ от авторства, была популярна еще в 1980-х годах, но на практике она почти никогда не работала, поэтому люди почти отказались от нее. ОТО Я сомневаюсь, что это повредит что-нибудь.