Meta: Dies ist OpenSSL, jedoch nicht speziell für Mac. Die meisten Dinge, für die OpenSSL verwendet wird, beziehen sich auf die Sicherheit. Ich würde vorschlagen, openssl zu markieren.
Viele der Einstellungen in der OpenSSL - Konfigurationsdatei, die standardmäßig auf eine plattformabhängigen Position wie die, die Sie angeben, aber außer Kraft gesetzt werden können, die standardmäßig verwendet werden, nur durch das reqund caDienstprogramme, von denen die letztere gerade erstellt wurde, ein minimaler CA sein und Zertifikate ausstellen. Die x509Hauptaufgabe des Dienstprogramms besteht darin, Zertifikate anzuzeigen, zu untersuchen und zu konvertieren. Das Ausstellen eines Zertifikats x509 -req -CA [-CAkey]ist ein Add-On, das nicht alle Funktionen cahat. Insbesondere werden nur Erweiterungen hinzugefügt, wenn Sie dies in der Befehlszeile angeben, nicht in der Konfigurationsdatei. (Und es kann keine Erweiterungen aus der CSR übertragen, obwohl dies für Sie kein Problem zu sein scheint.)
Lösungen: Verwenden Sie diese caOption mit den gewünschten Einstellungen in der Konfigurationsdatei oder x509 -req -CA [-CAkey]mit dem -extfile [-extensions]Zeigen auf eine Datei oder einen Abschnitt einer Datei mit den gewünschten Erweiterungen - möglicherweise aber nicht notwendigerweise die Standard-Konfigurationsdatei.
Außerdem: 365 Tage sind für ein CA-Zertifikat eine recht kurze Lebensdauer. Ich denke, Sie möchten SAN email:copystatt, moveweil das SMIME-Zertifikat, das ich persönlich verwendet habe (Testversion von Comodo), meine E-Mails sowohl im Betreff als auch im SAN enthält. Sie brauchen wahrscheinlich nicht nonRepudiationin (grundlegende) KU; Mein Zeugnis hat es nicht, und im Allgemeinen war die Idee, dass Publickey-Signaturen Nicht-Ablehnung unterstützen könnten, in den 1980er Jahren populär, aber in der Praxis hat es fast nie funktioniert, also haben die Leute es ziemlich aufgegeben. OTOH Ich bezweifle, dass es irgendetwas tun wird.