apps/openssl.cnf

   1 #
   2 # OpenSSL example configuration file.
   3 # This is mostly being used for generation of certificate requests.
   4 #
   5
   6 RANDFILE                = $ENV::HOME/.rnd
   7 oid_file                = $ENV::HOME/.oid
   8
   9 ####################################################################
  10 [ ca ]
  11 default_ca      = CA_default            # The default ca section
  12
  13 ####################################################################
  14 [ CA_default ]
  15
  16 dir             = ./demoCA              # Where everything is kept
  17 certs           = $dir/certs            # Where the issued certs are kept
  18 crl_dir         = $dir/crl              # Where the issued crl are kept
  19 database        = $dir/index.txt        # database index file.
  20 new_certs_dir   = $dir/newcerts         # default place for new certs.
  21
  22 certificate     = $dir/cacert.pem       # The CA certificate
  23 serial          = $dir/serial           # The current serial number
  24 crl             = $dir/crl.pem          # The current CRL
  25 private_key     = $dir/private/cakey.pem# The private key
  26 RANDFILE        = $dir/private/.rand    # private random number file
  27
  28 x509_extensions = usr_cert              # The extentions to add to the cert
  29 default_days    = 365                   # how long to certify for
  30 default_crl_days= 30                    # how long before next CRL
  31 default_md      = md5                   # which md to use.
  32 preserve        = no                    # keep passed DN ordering
  33
  34 # A few difference way of specifying how similar the request should look
  35 # For type CA, the listed attributes must be the same, and the optional
  36 # and supplied fields are just that :-)
  37 policy          = policy_match
  38
  39 # For the CA policy
  40 [ policy_match ]
  41 countryName             = match
  42 stateOrProvinceName     = match
  43 organizationName        = match
  44 organizationalUnitName  = optional
  45 commonName              = supplied
  46 emailAddress            = optional
  47
  48 # For the 'anything' policy
  49 # At this point in time, you must list all acceptable 'object'
  50 # types.
  51 [ policy_anything ]
  52 countryName             = optional
  53 stateOrProvinceName     = optional
  54 localityName            = optional
  55 organizationName        = optional
  56 organizationalUnitName  = optional
  57 commonName              = supplied
  58 emailAddress            = optional
  59
  60 ####################################################################
  61 [ req ]
  62 default_bits            = 1024
  63 default_keyfile         = privkey.pem
  64 distinguished_name      = req_distinguished_name
  65 attributes              = req_attributes
  66 x509_extensions = v3_ca # The extentions to add to the self signed cert
  67
  68 [ req_distinguished_name ]
  69 countryName                     = Country Name (2 letter code)
  70 countryName_default             = AU
  71 countryName_min                 = 2
  72 countryName_max                 = 2
  73
  74 stateOrProvinceName             = State or Province Name (full name)
  75 stateOrProvinceName_default     = Some-State
  76
  77 localityName                    = Locality Name (eg, city)
  78
  79 0.organizationName              = Organization Name (eg, company)
  80 0.organizationName_default      = Internet Widgits Pty Ltd
  81
  82 # we can do this but it is not needed normally :-)
  83 #1.organizationName             = Second Organization Name (eg, company)
  84 #1.organizationName_default     = World Wide Web Pty Ltd
  85
  86 organizationalUnitName          = Organizational Unit Name (eg, section)
  87 #organizationalUnitName_default =
  88
  89 commonName                      = Common Name (eg, YOUR name)
  90 commonName_max                  = 64
  91
  92 emailAddress                    = Email Address
  93 emailAddress_max                = 40
  94
  95 SET-ex3                         = SET extension number 3
  96
  97 [ req_attributes ]
  98 challengePassword               = A challenge password
  99 challengePassword_min           = 4
 100 challengePassword_max           = 20
 101
 102 unstructuredName                = An optional company name
 103
 104 [ usr_cert ]
 105
 106 # These extensions are added when 'ca' signs a request.
 107
 108 # This goes against PKIX guidelines but some CAs do it and some software
 109 # requires this to avoid interpreting an end user certificate as a CA.
 110
 111 basicConstraints=CA:FALSE
 112
 113 # Here are some examples of the usage of nsCertType. If it is omitted
 114 # the certificate can be used for anything *except* object signing.
 115
 116 # This is OK for an SSL server.
 117 #nsCertType                     = server
 118
 119 # For an object signing certificate this would be used.
 120 #nsCertType = objsign
 121
 122 # For normal client use this is typical
 123 #nsCertType = client, email
 124
 125 # This is typical also
 126
 127 keyUsage = nonRepudiation, digitalSignature, keyEncipherment
 128
 129 nsComment                       = "OpenSSL Generated Certificate"
 130
 131 #nsCaRevocationUrl              = http://www.domain.dom/ca-crl.pem
 132 #nsBaseUrl
 133 #nsRevocationUrl
 134 #nsRenewalUrl
 135 #nsCaPolicyUrl
 136 #nsSslServerName
 137
 138 [ v3_ca]
 139
 140 # Extensions for a typical CA
 141
 142 # It's a CA certificate
 143 basicConstraints = CA:true
 144
 145 # This is what PKIX recommends but some broken software chokes on critical
 146 # extensions.
 147 #basicConstraints = critical,CA:true
 148
 149 # Key usage: again this should really be critical.
 150 keyUsage = cRLSign, keyCertSign
 151
 152 # Some might want this also
 153 #nsCertType = sslCA, emailCA