为什么有效性扩展CA不包含私钥信息？

Question

我有一个自签名 rootcacert.pem ，它将在接下来到期 月。 由于特定原因，我延长了此有效期 rootcacert 使用以下命令：

openssl x509 -in rootcacert.pem -days 365 -out Extendedrootcacert.pem - signkey rootcakey.pem -text

因此，我得到新的根 ca 作为extendrootcacert.pem。 使用新的根ca， 我可以使用旧根 ca 签名的用户证书以及 由这个新的根 ca 签名的较新的用户证书。 所有功能 工作正常，没有任何问题。

但是当我打开这个extendrootcacert.pem & 原来的 rootcacert.pem文件使用记事本，发现有区别 内容之间。

rootcacert.pem有私钥和其他信息（Private- 键，publicExponent，privateExponent，prime1，prime2，指数1，指数2，系数）， 看起来像：

http:// ospkibook.sourceforge.net/docs/OSPKI-2.4.7/OSPKI-html/sample-key-components.htm

但是新的extendrootcacert.pem中没有此信息 它。 两个证书中的所有其他字段都相同。

我不知道原始的rootcacert.pem是如何生成的。

会对我的应用程序的功能产生任何不利影响吗？ 有什么办法可以将这些信息包含在新的扩展根中 约 是否绝对有必要在新版本中包含此信息 扩展根约。？

感谢任何意见。

Answer 1

你的链接是错误的。

证书的重要部分就在字里行间：

-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----

所有人类能理解的外部事物都仅供人类消费。

您可以使用以下命令对这两个信息进行新转储

openssl x509 -in rootca.pem -noout -text
openssl x509 -in extendedrootca.pem -noout -text

并进行比较。

您的 rootca.pem 也可能将密钥和证书合并到一个文件中。 在这种情况下，您会发现如下行：

-----BEGIN RSA PRIVATE KEY-----
…
-----END RSA PRIVATE KEY-----

然后您应该将其添加到您的extendrootca.pem中。