selftest/manage-ca/manage-ca.templates.d/openssl-USER-template.cnf

   1 #[ usr_cert_scarduser ]
   2 [ template_x509_extensions ]
   3
   4 # These extensions are added when 'ca' signs a request for a certificate that will be used to login from a smart card
   5
   6 # This goes against PKIX guidelines but some CAs do it and some software
   7 # requires this to avoid interpreting an end user certificate as a CA.
   8
   9 basicConstraints=CA:FALSE
  10 crlDistributionPoints=URI:$CRLDISTPT
  11
  12 # For normal client use this is typical
  13 nsCertType = client, email
  14
  15 # This is typical in keyUsage for a client certificate.
  16 keyUsage = nonRepudiation, digitalSignature, keyEncipherment
  17
  18 # This will be displayed in Netscape's comment listbox.
  19 nsComment           = "Smart Card Login Certificate for @@USER_PRINCIPAL_NAME@@"
  20
  21 # PKIX recommendations harmless if included in all certificates.
  22 subjectKeyIdentifier=hash
  23 authorityKeyIdentifier=keyid,issuer
  24
  25 # This stuff is for subjectAltName and issuerAltname.
  26
  27 subjectAltName=email:copy,otherName:msUPN;UTF8:@@USER_PRINCIPAL_NAME@@
  28
  29 # Copy subject details
  30 issuerAltName=issuer:copy
  31
  32 nsCaRevocationUrl       = $CRLDISTPT
  33 #nsBaseUrl
  34 #nsRevocationUrl
  35 #nsRenewalUrl
  36 #nsCaPolicyUrl
  37 #nsSslServerName
  38
  39 #Extended Key requirements for client certs
  40 extendedKeyUsage = clientAuth,scardLogin
  41