selftest: add CA-samba.example.com (non-binary) files
[samba.git] / selftest / manage-ca / manage-ca.templates.d / openssl-DC-template.cnf
1 #[ usr_cert_mskdc ]
2 [ template_x509_extensions ]
3
4 # These extensions are added when 'ca' signs a request for a domain controller certificate.
5
6 # This goes against PKIX guidelines but some CAs do it and some software
7 # requires this to avoid interpreting an end user certificate as a CA.
8
9 basicConstraints=CA:FALSE
10 crlDistributionPoints=URI:$CRLDISTPT
11
12 # Here are some examples of the usage of nsCertType. If it is omitted
13 # the certificate can be used for anything *except* object signing.
14
15 # This is OK for an SSL server.
16 nsCertType          = server
17
18 # This is typical in keyUsage for a client certificate.
19 keyUsage = nonRepudiation, digitalSignature, keyEncipherment
20
21 # This will be displayed in Netscape's comment listbox.
22 nsComment           = "Domain Controller Certificate @@DC_DNS_NAME@@"
23
24 # PKIX recommendations harmless if included in all certificates.
25 subjectKeyIdentifier=hash
26 authorityKeyIdentifier=keyid,issuer
27
28 # This stuff is for subjectAltName and issuerAltname.
29
30 subjectAltName=@dc_subjalt
31
32 # Copy subject details
33 issuerAltName=issuer:copy
34
35 nsCaRevocationUrl       = $CRLDISTPT
36 #nsBaseUrl
37 #nsRevocationUrl
38 #nsRenewalUrl
39 #nsCaPolicyUrl
40 #nsSslServerName
41
42 #Extended Key requirements for our domain controller certs
43 # serverAuth - says cert can be used to identify an ssl/tls server
44 # msKDC - says cert can be used to identify a Kerberos Domain Controller.
45 extendedKeyUsage = clientAuth,serverAuth,msKDC
46
47 [dc_subjalt]
48 DNS=@@DC_DNS_NAME@@
49 otherName=msADGUID;FORMAT:HEX,OCTETSTRING:@@DC_OBJECTGUID_HEX@@