home *** CD-ROM | disk | FTP | other *** search
/ PC go! 2008 August / PCgo 2008-08 (DVD).iso / interface / contents / onlineimuralub_6015 / 18845 / files / openvpn-2.0.9-gui-1.0.3-install.exe / easy-rsa / openssl.cnf.sample < prev    next >
Encoding:
Text File  |  2006-10-01  |  7.6 KB  |  256 lines
  1. #
  2. # OpenSSL example configuration file.
  3. # This is mostly being used for generation of certificate requests.
  4. #
  5.  
  6. # This definition stops the following lines choking if HOME isn't
  7. # defined.
  8. HOME            = .
  9. RANDFILE        = $ENV::HOME/.rnd
  10.  
  11. # Extra OBJECT IDENTIFIER info:
  12. #oid_file        = $ENV::HOME/.oid
  13. oid_section        = new_oids
  14.  
  15. # To use this configuration file with the "-extfile" option of the
  16. # "openssl x509" utility, name here the section containing the
  17. # X.509v3 extensions to use:
  18. # extensions        = 
  19. # (Alternatively, use a configuration file that has only
  20. # X.509v3 extensions in its main [= default] section.)
  21.  
  22. [ new_oids ]
  23.  
  24. # We can add new OIDs in here for use by 'ca' and 'req'.
  25. # Add a simple OID like this:
  26. # testoid1=1.2.3.4
  27. # Or use config file substitution like this:
  28. # testoid2=${testoid1}.5.6
  29.  
  30. ####################################################################
  31. [ ca ]
  32. default_ca    = CA_default        # The default ca section
  33.  
  34. ####################################################################
  35. [ CA_default ]
  36.  
  37. dir        = $ENV::KEY_DIR        # Where everything is kept
  38. certs        = $dir            # Where the issued certs are kept
  39. crl_dir        = $dir            # Where the issued crl are kept
  40. database    = $dir/index.txt    # database index file.
  41. new_certs_dir    = $dir            # default place for new certs.
  42.  
  43. certificate    = $dir/ca.crt         # The CA certificate
  44. serial        = $dir/serial         # The current serial number
  45. crl        = $dir/crl.pem         # The current CRL
  46. private_key    = $dir/ca.key         # The private key
  47. RANDFILE    = $dir/.rand        # private random number file
  48.  
  49. x509_extensions    = usr_cert        # The extentions to add to the cert
  50.  
  51. # Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
  52. # so this is commented out by default to leave a V1 CRL.
  53. # crl_extensions    = crl_ext
  54.  
  55. default_days    = 3650            # how long to certify for
  56. default_crl_days= 30            # how long before next CRL
  57. default_md    = md5            # which md to use.
  58. preserve    = no            # keep passed DN ordering
  59.  
  60. # A few difference way of specifying how similar the request should look
  61. # For type CA, the listed attributes must be the same, and the optional
  62. # and supplied fields are just that :-)
  63. policy        = policy_match
  64.  
  65. # For the CA policy
  66. [ policy_match ]
  67. countryName        = match
  68. stateOrProvinceName    = match
  69. organizationName    = match
  70. organizationalUnitName    = optional
  71. commonName        = supplied
  72. emailAddress        = optional
  73.  
  74. # For the 'anything' policy
  75. # At this point in time, you must list all acceptable 'object'
  76. # types.
  77. [ policy_anything ]
  78. countryName        = optional
  79. stateOrProvinceName    = optional
  80. localityName        = optional
  81. organizationName    = optional
  82. organizationalUnitName    = optional
  83. commonName        = supplied
  84. emailAddress        = optional
  85.  
  86. ####################################################################
  87. [ req ]
  88. default_bits        = $ENV::KEY_SIZE
  89. default_keyfile     = privkey.pem
  90. distinguished_name    = req_distinguished_name
  91. attributes        = req_attributes
  92. x509_extensions    = v3_ca    # The extentions to add to the self signed cert
  93.  
  94. # Passwords for private keys if not present they will be prompted for
  95. # input_password = secret
  96. # output_password = secret
  97.  
  98. # This sets a mask for permitted string types. There are several options. 
  99. # default: PrintableString, T61String, BMPString.
  100. # pkix     : PrintableString, BMPString.
  101. # utf8only: only UTF8Strings.
  102. # nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).
  103. # MASK:XXXX a literal mask value.
  104. # WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings
  105. # so use this option with caution!
  106. string_mask = nombstr
  107.  
  108. # req_extensions = v3_req # The extensions to add to a certificate request
  109.  
  110. [ req_distinguished_name ]
  111. countryName            = Country Name (2 letter code)
  112. countryName_default        = $ENV::KEY_COUNTRY
  113. countryName_min            = 2
  114. countryName_max            = 2
  115.  
  116. stateOrProvinceName        = State or Province Name (full name)
  117. stateOrProvinceName_default    = $ENV::KEY_PROVINCE
  118.  
  119. localityName            = Locality Name (eg, city)
  120. localityName_default        = $ENV::KEY_CITY
  121.  
  122. 0.organizationName        = Organization Name (eg, company)
  123. 0.organizationName_default    = $ENV::KEY_ORG
  124.  
  125. # we can do this but it is not needed normally :-)
  126. #1.organizationName        = Second Organization Name (eg, company)
  127. #1.organizationName_default    = World Wide Web Pty Ltd
  128.  
  129. organizationalUnitName        = Organizational Unit Name (eg, section)
  130. #organizationalUnitName_default    =
  131.  
  132. commonName            = Common Name (eg, your name or your server\'s hostname)
  133. commonName_max            = 64
  134.  
  135. emailAddress            = Email Address
  136. emailAddress_default        = $ENV::KEY_EMAIL
  137. emailAddress_max        = 40
  138.  
  139. # SET-ex3            = SET extension number 3
  140.  
  141. [ req_attributes ]
  142. challengePassword        = A challenge password
  143. challengePassword_min        = 4
  144. challengePassword_max        = 20
  145.  
  146. unstructuredName        = An optional company name
  147.  
  148. [ usr_cert ]
  149.  
  150. # These extensions are added when 'ca' signs a request.
  151.  
  152. # This goes against PKIX guidelines but some CAs do it and some software
  153. # requires this to avoid interpreting an end user certificate as a CA.
  154.  
  155. basicConstraints=CA:FALSE
  156.  
  157. # Here are some examples of the usage of nsCertType. If it is omitted
  158. # the certificate can be used for anything *except* object signing.
  159.  
  160. # This is OK for an SSL server.
  161. # nsCertType            = server
  162.  
  163. # For an object signing certificate this would be used.
  164. # nsCertType = objsign
  165.  
  166. # For normal client use this is typical
  167. # nsCertType = client, email
  168.  
  169. # and for everything including object signing:
  170. # nsCertType = client, email, objsign
  171.  
  172. # This is typical in keyUsage for a client certificate.
  173. # keyUsage = nonRepudiation, digitalSignature, keyEncipherment
  174.  
  175. # This will be displayed in Netscape's comment listbox.
  176. nsComment            = "OpenSSL Generated Certificate"
  177.  
  178. # PKIX recommendations harmless if included in all certificates.
  179. subjectKeyIdentifier=hash
  180. authorityKeyIdentifier=keyid,issuer:always
  181.  
  182. # This stuff is for subjectAltName and issuerAltname.
  183. # Import the email address.
  184. # subjectAltName=email:copy
  185.  
  186. # Copy subject details
  187. # issuerAltName=issuer:copy
  188.  
  189. #nsCaRevocationUrl        = http://www.domain.dom/ca-crl.pem
  190. #nsBaseUrl
  191. #nsRevocationUrl
  192. #nsRenewalUrl
  193. #nsCaPolicyUrl
  194. #nsSslServerName
  195.  
  196. [ server ]
  197.  
  198. # JY ADDED -- Make a cert with nsCertType set to "server"
  199. basicConstraints=CA:FALSE
  200. nsCertType            = server
  201. nsComment            = "OpenSSL Generated Server Certificate"
  202. subjectKeyIdentifier=hash
  203. authorityKeyIdentifier=keyid,issuer:always
  204.  
  205. [ v3_req ]
  206.  
  207. # Extensions to add to a certificate request
  208.  
  209. basicConstraints = CA:FALSE
  210. keyUsage = nonRepudiation, digitalSignature, keyEncipherment
  211.  
  212. [ v3_ca ]
  213.  
  214.  
  215. # Extensions for a typical CA
  216.  
  217.  
  218. # PKIX recommendation.
  219.  
  220. subjectKeyIdentifier=hash
  221.  
  222. authorityKeyIdentifier=keyid:always,issuer:always
  223.  
  224. # This is what PKIX recommends but some broken software chokes on critical
  225. # extensions.
  226. #basicConstraints = critical,CA:true
  227. # So we do this instead.
  228. basicConstraints = CA:true
  229.  
  230. # Key usage: this is typical for a CA certificate. However since it will
  231. # prevent it being used as an test self-signed certificate it is best
  232. # left out by default.
  233. # keyUsage = cRLSign, keyCertSign
  234.  
  235. # Some might want this also
  236. # nsCertType = sslCA, emailCA
  237.  
  238. # Include email address in subject alt name: another PKIX recommendation
  239. # subjectAltName=email:copy
  240. # Copy issuer details
  241. # issuerAltName=issuer:copy
  242.  
  243. # DER hex encoding of an extension: beware experts only!
  244. # obj=DER:02:03
  245. # Where 'obj' is a standard or added object
  246. # You can even override a supported extension:
  247. # basicConstraints= critical, DER:30:03:01:01:FF
  248.  
  249. [ crl_ext ]
  250.  
  251. # CRL extensions.
  252. # Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
  253.  
  254. # issuerAltName=issuer:copy
  255. authorityKeyIdentifier=keyid:always,issuer:always
  256.