[devel] Вопросы новичка

[Max Ivanov]

> Во-первых, как я погляжу, он, если ему не указать более другого
> конфигурационного файла OpenSSL, генерирует какой-то безумно древний
> формат сертификата. Стандартного по X509v3 расширения
> extendedKeyUsage = serverAuth не кладет, а вместо этого кладет
> nsCertType, про который все уже давно забыли, что такое бывает.

> Пусть выписанный собственным УЦ, но с отдельным сертификатом УЦ,
> с прописанным crlDistributionPoints и т.д.

> Может быть имеет смысл включить в дистрибутив микро-УЦ, который бы
> позволял на ходу генерировать нормальные сертификаты, и в случае если
> этот пакет установлен и сконфигурирован, автоматически переключать
> cert-sh-functions на использование этого УЦ.

Есть такая штука tinyCA, очень удобная в админстве. Я так понимаю, что
ей можно скормить openssl.cnf и он начнет генерировать правильные
сертификаты, с правильным extendedKeyUsage и без дремучего nsCertType.
Вопрос только в том, где взять такой отшлифованный конфиг?