В общем, я не обязательно выяснил, как решить проблему с OpenSSL, но обнаружил, что GnuTLS запрашивает использование сертификата таким способом, с которым легко работать.
Я генерирую корневой CA следующим образом:
certtool --generate-privkey --bits 4096 --outfile ca.key certtool --generate-self-signed --load-privkey ca.key --template ca.vars --outfile ca.crt
Где мой ca.vars выглядит так:
organization = [Company Name] unit = [Org Unit] locality = [City] state = [State] country = [Country Code] challenge_password = [password] password = [password] expiration_days = 1825 serial = 1 ca cert_signing_key crl_signing_key cn = '[Company Name] Root CA 000001'
ПРИМЕЧАНИЕ. Пароль указан в файле ca.vars, который небезопасен; но для моей реализации скрипт генерирует файл vars, а затем удаляет его с помощью инструмента удаления srm. Если вы не используете скрипты для генерации файлов vars, просто опустите строки пароля и challenge_password, и вам будет предложено.
Затем промежуточные СА следующие:
certtool --generate-privkey --bits 4096 --outfile ia.key certtool --generate-request --template ia.vars --load-privkey ia.key --outfile ia.csr certtool --generate-certificate --template ia.vars --load-request ia.csr --load-ca-certificate ca.crt --load-ca-privkey ca.key --outfile ia.crt
Разница между ca.vars и ia.vars заключается в том, что я установил срок действия 365 и добавил следующую строку:
path_len = 1
Оттуда я могу использовать вышеупомянутый сценарий с openssl и центрами сертификации ia_ [sign / encrypt] для генерации сертификатов x509, которые я могу использовать в Outlook с Office 365 для подписи / шифрования электронной почты. Я вставлю это снова только для справки:
openssl genrsa -aes128 -out email.key 2048 openssl req -new -key email.key -out email.csr openssl x509 -req -days 365 -in email.csr -CA ia.crt -CAkey ia.key -CAcreateserial -out email.crt openssl pkcs12 -export -in email.crt -inkey email.key -out email.pfx openssl x509 -in email.crt -serial -noout >> email.meta openssl x509 -in email.crt -fingerprint -noout >> email.meta
Надеюсь, это поможет кому-то, кроме меня! :)