java - SCEP 和扩展证书属性

Question

我正在使用 SCEP 为我的网络服务创建证书。成功创建证书和服务器启动后，我尝试通过浏览器访问 wsdl，它显示一条错误消息，指出该应用程序不允许使用证书类型，错误代码:sec_error_inadequate_cer_type。一位同事指出，我必须将扩展 key 属性中的 key 用法更改为“服务器身份验证”，并且应该在认证请求中完成。

要创建新请求，我正在使用 bouncycaSTLe。请参阅下面的代码片段:

    PKCS10CertificationRequestBuilder builder = new PKCS10CertificationRequestBuilder(subject, pkInfo);
    builder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_challengePassword, new DERPrintableString(challengePassword));

    return builder.build(signer);

现在的问题是我没有找到关于如何向请求中添加类似内容的文档。我唯一想到的是，很可能我必须使用对象标识符“PKCSObjectIdentifiers.pkcs_9_at_extendedCertificateAttributes”向构建器添加其他属性:

    builder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_extendedCertificateAttributes, ??? );

但是应该将什么传递给构建器的 addAttribute-Method，以便请求的证书将扩展证书属性设置为“服务器身份验证”？

我做了一些研究，但没有找到任何文档或示例可以为我提供一些有用的答案。

一些信息:我正在使用 JSCEP 和 bouncycaSTLe 1.48

我希望有人能指出我的解决方案。提前致谢。

Answer 1

扩展证书 属性已弃用，但还有另一个名为 Extension request 的 PKCS#9 属性其中可以包含调用者希望包含在证书中的一些扩展。

The extensionRequest attribute type may be used to carry informationabout certificate extensions the requester wishes to be included in acertificate.

当然，证书颁发机构必须支持此属性，并且可以根据其证书策略忽略它。

要在您的 CSR 中包含此属性，您可以使用此代码(未测试):

KeyUsage ku = new KeyUsage(KeyUsage.digitalSignature);
Extension kuExt = new Extension(Extension.keyUsage, true, ku.getEncoded());
ExtendedKeyUsage eku = new ExtendedKeyUsage(KeyPurposeId.id_kp_serverAuth);
Extension ekuExt = new Extension(Extension.extendedKeyUsage, true, eku.getEncoded());
Extensions exts = new Extensions(new Extension[] {kuExt, ekuExt});
builder.addAttribute(PKCSObjectIdentifiers.pkcs_9_at_extensionRequest, exts);