2696044cf1d9bf0d028f5d6fd79e7e6c28544abe
[openssl.git] / apps / openssl.cnf
1 #
2 # OpenSSL example configuration file.
3 # This is mostly being used for generation of certificate requests.
4 #
5
6 # This definition stops the following lines choking if HOME isn't
7 # defined.
8 HOME                    = .
9 RANDFILE                = $ENV::HOME/.rnd
10
11 # Extra OBJECT IDENTIFIER info:
12 #oid_file               = $ENV::HOME/.oid
13 oid_section             = new_oids
14
15 # To use this configuration file with the "-extfile" option of the
16 # "openssl x509" utility, name here the section containing the
17 # X.509v3 extensions to use:
18 # extensions            = 
19 # (Alternatively, use a configuration file that has only
20 # X.509v3 extensions in its main [= default] section.)
21
22 [ new_oids ]
23
24 # We can add new OIDs in here for use by 'ca' and 'req'.
25 # Add a simple OID like this:
26 # testoid1=1.2.3.4
27 # Or use config file substitution like this:
28 # testoid2=${testoid1}.5.6
29
30 ####################################################################
31 [ ca ]
32 default_ca      = CA_default            # The default ca section
33
34 ####################################################################
35 [ CA_default ]
36
37 dir             = ./demoCA              # Where everything is kept
38 certs           = $dir/certs            # Where the issued certs are kept
39 crl_dir         = $dir/crl              # Where the issued crl are kept
40 database        = $dir/index.txt        # database index file.
41 #unique_subject = no                    # Set to 'no' to allow creation of
42                                         # several ctificates with same subject.
43 new_certs_dir   = $dir/newcerts         # default place for new certs.
44
45 certificate     = $dir/cacert.pem       # The CA certificate
46 serial          = $dir/serial           # The current serial number
47 crl             = $dir/crl.pem          # The current CRL
48 private_key     = $dir/private/cakey.pem# The private key
49 RANDFILE        = $dir/private/.rand    # private random number file
50
51 x509_extensions = usr_cert              # The extentions to add to the cert
52
53 # Comment out the following two lines for the "traditional"
54 # (and highly broken) format.
55 name_opt        = ca_default            # Subject Name options
56 cert_opt        = ca_default            # Certificate field options
57
58 # Extension copying option: use with caution.
59 # copy_extensions = copy
60
61 # Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
62 # so this is commented out by default to leave a V1 CRL.
63 # crl_extensions        = crl_ext
64
65 default_days    = 365                   # how long to certify for
66 default_crl_days= 30                    # how long before next CRL
67 default_md      = md5                   # which md to use.
68 preserve        = no                    # keep passed DN ordering
69
70 # A few difference way of specifying how similar the request should look
71 # For type CA, the listed attributes must be the same, and the optional
72 # and supplied fields are just that :-)
73 policy          = policy_match
74
75 # For the CA policy
76 [ policy_match ]
77 countryName             = match
78 stateOrProvinceName     = match
79 organizationName        = match
80 organizationalUnitName  = optional
81 commonName              = supplied
82 emailAddress            = optional
83
84 # For the 'anything' policy
85 # At this point in time, you must list all acceptable 'object'
86 # types.
87 [ policy_anything ]
88 countryName             = optional
89 stateOrProvinceName     = optional
90 localityName            = optional
91 organizationName        = optional
92 organizationalUnitName  = optional
93 commonName              = supplied
94 emailAddress            = optional
95
96 ####################################################################
97 [ req ]
98 default_bits            = 1024
99 default_keyfile         = privkey.pem
100 distinguished_name      = req_distinguished_name
101 attributes              = req_attributes
102 x509_extensions = v3_ca # The extentions to add to the self signed cert
103
104 # Passwords for private keys if not present they will be prompted for
105 # input_password = secret
106 # output_password = secret
107
108 # This sets a mask for permitted string types. There are several options. 
109 # default: PrintableString, T61String, BMPString.
110 # pkix   : PrintableString, BMPString.
111 # utf8only: only UTF8Strings.
112 # nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).
113 # MASK:XXXX a literal mask value.
114 # WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings
115 # so use this option with caution!
116 string_mask = nombstr
117
118 # req_extensions = v3_req # The extensions to add to a certificate request
119
120 [ req_distinguished_name ]
121 countryName                     = Country Name (2 letter code)
122 countryName_default             = AU
123 countryName_min                 = 2
124 countryName_max                 = 2
125
126 stateOrProvinceName             = State or Province Name (full name)
127 stateOrProvinceName_default     = Some-State
128
129 localityName                    = Locality Name (eg, city)
130
131 0.organizationName              = Organization Name (eg, company)
132 0.organizationName_default      = Internet Widgits Pty Ltd
133
134 # we can do this but it is not needed normally :-)
135 #1.organizationName             = Second Organization Name (eg, company)
136 #1.organizationName_default     = World Wide Web Pty Ltd
137
138 organizationalUnitName          = Organizational Unit Name (eg, section)
139 #organizationalUnitName_default =
140
141 commonName                      = Common Name (eg, YOUR name)
142 commonName_max                  = 64
143
144 emailAddress                    = Email Address
145 emailAddress_max                = 64
146
147 # SET-ex3                       = SET extension number 3
148
149 [ req_attributes ]
150 challengePassword               = A challenge password
151 challengePassword_min           = 4
152 challengePassword_max           = 20
153
154 unstructuredName                = An optional company name
155
156 [ usr_cert ]
157
158 # These extensions are added when 'ca' signs a request.
159
160 # This goes against PKIX guidelines but some CAs do it and some software
161 # requires this to avoid interpreting an end user certificate as a CA.
162
163 basicConstraints=CA:FALSE
164
165 # Here are some examples of the usage of nsCertType. If it is omitted
166 # the certificate can be used for anything *except* object signing.
167
168 # This is OK for an SSL server.
169 # nsCertType                    = server
170
171 # For an object signing certificate this would be used.
172 # nsCertType = objsign
173
174 # For normal client use this is typical
175 # nsCertType = client, email
176
177 # and for everything including object signing:
178 # nsCertType = client, email, objsign
179
180 # This is typical in keyUsage for a client certificate.
181 # keyUsage = nonRepudiation, digitalSignature, keyEncipherment
182
183 # This will be displayed in Netscape's comment listbox.
184 nsComment                       = "OpenSSL Generated Certificate"
185
186 # PKIX recommendations harmless if included in all certificates.
187 subjectKeyIdentifier=hash
188 authorityKeyIdentifier=keyid,issuer:always
189
190 # This stuff is for subjectAltName and issuerAltname.
191 # Import the email address.
192 # subjectAltName=email:copy
193 # An alternative to produce certificates that aren't
194 # deprecated according to PKIX.
195 # subjectAltName=email:move
196
197 # Copy subject details
198 # issuerAltName=issuer:copy
199
200 #nsCaRevocationUrl              = http://www.domain.dom/ca-crl.pem
201 #nsBaseUrl
202 #nsRevocationUrl
203 #nsRenewalUrl
204 #nsCaPolicyUrl
205 #nsSslServerName
206
207 [ v3_req ]
208
209 # Extensions to add to a certificate request
210
211 basicConstraints = CA:FALSE
212 keyUsage = nonRepudiation, digitalSignature, keyEncipherment
213
214 [ v3_ca ]
215
216
217 # Extensions for a typical CA
218
219
220 # PKIX recommendation.
221
222 subjectKeyIdentifier=hash
223
224 authorityKeyIdentifier=keyid:always,issuer:always
225
226 # This is what PKIX recommends but some broken software chokes on critical
227 # extensions.
228 #basicConstraints = critical,CA:true
229 # So we do this instead.
230 basicConstraints = CA:true
231
232 # Key usage: this is typical for a CA certificate. However since it will
233 # prevent it being used as an test self-signed certificate it is best
234 # left out by default.
235 # keyUsage = cRLSign, keyCertSign
236
237 # Some might want this also
238 # nsCertType = sslCA, emailCA
239
240 # Include email address in subject alt name: another PKIX recommendation
241 # subjectAltName=email:copy
242 # Copy issuer details
243 # issuerAltName=issuer:copy
244
245 # DER hex encoding of an extension: beware experts only!
246 # obj=DER:02:03
247 # Where 'obj' is a standard or added object
248 # You can even override a supported extension:
249 # basicConstraints= critical, DER:30:03:01:01:FF
250
251 [ crl_ext ]
252
253 # CRL extensions.
254 # Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
255
256 # issuerAltName=issuer:copy
257 authorityKeyIdentifier=keyid:always,issuer:always