我需要一个额外的less见的EKU(即1.3.6.1.5.5.8.2.2,“IPSec中间系统使用”)的SSL证书。 自签名证书不是一个选项。 有人知道任何允许额外EKU的CA吗? 我联系了Namecheap,Comodo和Godaddy,他们都回答说他们不能发行一个。
CA /浏览器论坛的基准要求对于在非标准的证书中引入extendedKeyUsage值是相当严格的。 虽然不是完全禁止的,但措辞是这样的,CA通常要避免麻烦(见第7.1.2.4节)。
某些根存储(Microsoft)甚至要求CA预先明确指出所有可能的EKU值,即根证书或中间证书可能会签名。