selftest/manage-ca/manage-ca.templates.d/openssl-DC-template.cnf

   1 #[ usr_cert_mskdc ]
   2 [ template_x509_extensions ]
   3
   4 # These extensions are added when 'ca' signs a request for a domain controller certificate.
   5
   6 # This goes against PKIX guidelines but some CAs do it and some software
   7 # requires this to avoid interpreting an end user certificate as a CA.
   8
   9 basicConstraints=CA:FALSE
  10 crlDistributionPoints=URI:$CRLDISTPT
  11
  12 # Here are some examples of the usage of nsCertType. If it is omitted
  13 # the certificate can be used for anything *except* object signing.
  14
  15 # This is OK for an SSL server.
  16 nsCertType          = server
  17
  18 # This is typical in keyUsage for a client certificate.
  19 keyUsage = nonRepudiation, digitalSignature, keyEncipherment
  20
  21 # This will be displayed in Netscape's comment listbox.
  22 nsComment           = "Domain Controller Certificate @@DC_DNS_NAME@@"
  23
  24 # PKIX recommendations harmless if included in all certificates.
  25 subjectKeyIdentifier=hash
  26 authorityKeyIdentifier=keyid,issuer
  27
  28 # This stuff is for subjectAltName and issuerAltname.
  29
  30 subjectAltName=@dc_subjalt
  31
  32 # Copy subject details
  33 issuerAltName=issuer:copy
  34
  35 nsCaRevocationUrl       = $CRLDISTPT
  36 #nsBaseUrl
  37 #nsRevocationUrl
  38 #nsRenewalUrl
  39 #nsCaPolicyUrl
  40 #nsSslServerName
  41
  42 #Extended Key requirements for our domain controller certs
  43 # serverAuth - says cert can be used to identify an ssl/tls server
  44 # msKDC - says cert can be used to identify a Kerberos Domain Controller.
  45 extendedKeyUsage = clientAuth,serverAuth,msKDC
  46
  47 [dc_subjalt]
  48 DNS=@@DC_DNS_NAME@@
  49 otherName=msADGUID;FORMAT:HEX,OCTETSTRING:@@DC_OBJECTGUID_HEX@@