Добавление SubjectSignTool в КриптоПро через командную строку

В продолжении темы про выпуск сертификатов в Крипто-ПРО расскажу про добавление SubjectSignTool к запросу на сертификат (CSR) через командную строку.

Мануал к cryptocp говорит нам использовать -ext /path/to/ext/file, но вот про то, как создать файл с расширениями, естественно, умалчивает.

Итак первым делом создаем файл нашего расширения в более-менее человеческом виде (назовем его 1.asn) и пишем в него:

asn1=SEQUENCE:exts

[exts]
extnId=OID:1.2.643.100.111
extnValue=OCTWRAP,FORMAT:UTF8,UTF8:Crypto-Pro GOST R 34.10-2001

Потом воспользуемся утилитой openssl для перевода в DER формат:

openssl asn1parse -genconf 1.asn -out 1.out

В результате у нас в 1.out есть нужные данные, который можно указать как файл для -ext

На всякий случай можно проверить что получилось через ASN.1 decoder, для этого переводим содержимое файла в base64:

cat 1.out | base64

и вставляем результат в декодер.

Полученная команда для cryptocp выглядит примерно так:

/opt/cprocsp/bin/amd64/cryptcp \
        -creatrqst \
        -nokeygen \
        -both \
        -cont "\\.\HDIMAGE\ВашКонтейнер" \
        -dn 'ВашDN'
        -certusage 1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.4 \
        -ext 1.out \
        -der \
        /ваш/файл/csr

Естественно в вашем случае параметры могут немного отличаться :)

P.S.

В очередной раз спасибо форуму крипто-про, а не официальной документации :-]