如何创建自己的扩展验证证书以显示绿色条？

我创建了一个根，一个中间证书。然后我签署了扩展证书，但没有。

我在浏览器和计算机的密钥库中添加了根证书和中间证书。

我看到“安全”一词，但我想在绿色栏中看到我的名字。

使用OpenSSL生成一个扩展证书的政策是什么？

certificatePolicies=ia5org,1.2.3.4,1.5.6.7.8,@polsect
 [polsect] 
policyIdentifier = 1.3.5.8 
CPS.1="https://jitc.rahmican.com.tr";
userNotice.1=@notice 
[notice] 
explicitText="Explicit Text Here"
 organization="rahmican ltd sti" 
noticeNumbers=1,2,3,4

我在openssl conf文件中使用了以下内容，但没有使用。

你能帮我吗？

首先，您必须遵守《CA Browser EV准则》：

您的证书需要符合DV（域验证）规则，因此我们知道这是可以的，因为即使未显示EV绿色栏，您的浏览器也会显示“安全”

您需要添加以下EV扩展名：2.23.140.1.1

您需要添加扩展名为2.16.840.1.114412.2.1的证书实践声明

以及其他一些东西，最好在DigiCert的以下文档的EV栏中进行描述：https : //www.digicert.com/wp-content/uploads/2018/01/Certificate-Profiles.pdf

这些其他事情很容易遵守，因为DV证书已经需要它们，或者您可以更新openssl配置以添加DV证书不需要的或禁止的那些。

在这些其他内容中，有些是可选的，但以下关于DN的3则不是可选的，因此您必须在主体的DN中添加这些信息。创建CSR时，可以使用openssl添加它们。例如：

openssl req -config openssl-EV.cnf -new -days 365 -pubkey -key key.pem -subj "/businessCategory=Private/serialNumber=5157550/jurisdictiOnC=US/CN=fenyo.net/O=FenyoNet/C=FR" -nodes > csr.pem

对于EV证书，重要的部分如下： /businessCategory=Private/serialNumber=5157550/jurisdictiOnC=US

DN中的这3个必需属性（businessCategory，serialNumber和管辖区C）必须存在。但是openssl可能不知道businessCategory和管辖区C的OID。因此，像这样填写openssl配置文件的new_oids部分：

[ new_oids ]
businessCategory = 2.5.4.15
jurisdictiOnC= 1.3.6.1.4.1.311.60.2.1.3

在CSR中拥有这些属性是不够的，因为您拥有自己的CA，并且CA根据CA策略过滤并删除了CN的某些属性。您肯定可以运行类似的操作来签署证书：

openssl ca -verbose -in csr.pem -extensions v3_ca -out newcert.pem -config openssl-EV.cnf

如果您的openssl配置文件不是专门为EV证书设计的，则此步骤肯定会过滤您在CSR的主题DN中添加的其他属性。因此，您必须更改openssl配置文件以将那些属性保留在签名证书中。为此，请在openssl配置文件的CA部分中找到策略字段，例如policy_match，然后转到相应的部分（在此示例中为[policy_match]），然后在此部分中添加以下条目（不要删除此部分中已有的内容）：

[ policy_match ]
businessCategory = optional
serialNumber = optional
jurisdictiOnC= optional

如果在CSR中找到属性，这将使“ openssl ca”输出这些属性。

现在，请注意，是符合这些CA浏览器EV指导方针是不足够的。许多浏览器添加了其他需求。例如，《 CA Browser EV指南》验证使用CRL而不是OCSP的EV证书（CA Brower说：如果证书未在AuthorityInformationAccess扩展名中指定OCSP响应者位置，则订户证书中必须存在cRLDistribution Point扩展名。）但是相反，Firefox添加了许多其他规则，包括OCSP响应程序的可用性。

Firefox执行了一些测试，以确定服务器的证书是否为有效的EV证书。如果证书通过了这些测试，则Firefox将显示新的EV UI元素。具体来说，证书必须通过以下所有测试。

来自https://wiki.mozilla.org/CA:EV_Revocation_Checking的那些规则是：

除了特定于EV的测试之外，服务器证书还必须通过DV证书所需的所有测试。Firefox 3（NSS加密库）中使用的证书验证引擎必须能够找到有效的证书链，该证书链从服务器证书扩展到Firefox附带的EV批准的根证书之一。服务器证书必须仅包含一个EV策略扩展（OID）。服务器证书可以包含一个或多个策略扩展，但不能包含多个EV策略扩展。中间证书必须隐式或显式允许服务器证书中列出的EV策略OID。Firefox 3将使用OCSP协议测试服务器证书的吊销状态。服务器证书必须包含授权信息访问（AIA）扩展，该扩展使用HTTP协议承载OCSP URI。Firefox必须能够与给定的OCSP服务器完成OCSP请求和响应事务。当OCSP服务器连接失败时，Firefox会将服务器证书视为对EV无效。对于Firefox会话中的每个服务器证书的第一次检查都是如此。Firefox使用易失性缓存来减少执行的OCSP事务数。Firefox必须能够验证收到的OCSP响应。该响应必须确认服务器证书未被吊销。必须在应用程序中启用OCSP，这是Firefox使用的默认配置。该选项称为security.ocsp.enabled。目前，Firefox将不会按需下载CRL。OCSP响应失败将导致无法进行EV治疗。

因此，要获得绿色指示条，您必须像之前所述更新您的openssl配置，并修改您的CA组织以添加OCSP响应器以及需要将您的服务器识别为EV站点的浏览器期望的其他功能。

对于拥有CA和PKI的人，Mozilla已创建了一个在线站点来检查所有这些EV要求：https : //tls-observatory.services.mozilla.com/static/ev-checker.html

在这个网站上：

您输入服务器的名称

输入您选择的EV扩展名（通常为2.23.140.1.1）

您以PEM格式输入签署了EV证书的根证书

该站点将进行测试，并告诉您什么是正确的，什么是错误的。请注意，截至今天（2018年8月2日），该网站非常慢。跳来跳去很快。