我正在使用SCEP为我的网络服务创建证书。在成功创建证书和服务器启动后,我尝试通过浏览器访问wsdl,该浏览器显示一条错误消息,指出此应用程序不允许使用证书类型,错误代码:sec_error_inadequate_cer_type。一位同事指出,我必须将扩展密钥属性中的密钥用法更改为“服务器身份验证”,并且应该在认证请求中完成。
要创建新请求,我正在使用bouncycastle。请参阅下面的代码段:
PKCS10CertificationRequestBuilder builder = new PKCS10CertificationRequestBuilder(subject, pkInfo);
builder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_challengePassword, new DERPrintableString(challengePassword));
return builder.build(signer);
现在的问题是我没有找到关于如何在请求中添加这样的内容的文档。我唯一想到的是,我很可能必须使用对象标识符“PKCSObjectIdentifiers.pkcs_9_at_extendedCertificateAttributes”向构建器添加其他属性:
builder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_extendedCertificateAttributes, ??? );
但应该将什么传递给构建器的addAttribute-Method,以便所请求的证书将扩展证书属性设置为“服务器身份验证”?
我做了一些研究,但我没有找到任何文件或例子为我提供了一些有用的答案。
一些信息: 我正在使用JSCEP,而bouncycastle 1.48
我希望有人能指出我的解决方案。 提前谢谢。
答案 0 :(得分:0)
扩展证书属性已弃用,但还有另一个名为Extension request的PKCS#9属性,其中包含调用者希望包含在证书中的某些扩展名。
extensionRequest属性类型可用于携带信息 关于证书扩展,请求者希望包含在 证书。
当然,证书颁发机构必须支持此属性,并且可以根据其认证政策忽略它。
要在CSR中包含此属性,您可以使用此代码(未经过测试):
KeyUsage ku = new KeyUsage(KeyUsage.digitalSignature);
Extension kuExt = new Extension(Extension.keyUsage, true, ku.getEncoded());
ExtendedKeyUsage eku = new ExtendedKeyUsage(KeyPurposeId.id_kp_serverAuth);
Extension ekuExt = new Extension(Extension.extendedKeyUsage, true, eku.getEncoded());
Extensions exts = new Extensions(new Extension[] {kuExt, ekuExt});
builder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_extensionRequest, exts);