Вопрос:

Можно ли при создании запроса на кросс-сертификат добавить в 2.5.29.37 (улучшенный ключ) какие-либо идентификаторы, а в расширении 2.5.29.32 (политика сертификата) удалить значение "все политики выдачи" и значения:1.2.643.100.113.1, 1.2.643.100.113.2 оставить?

Ответ:

В запрос на кросс переносится ровно то, что есть в корневом сертификате. Мы в запрос можем только добавить что-нибудь, убрать-нет. Поэтому, чтобы добавить EKU файл политик такой использовать

 [Version]

Signature="$Windows NT$"

[BasicConstraintsExtension]

PathLength=0

Critical=True

[EnhancedKeyUsage]

OID=1.2.3.4.5

OID=1.2.3.4.6

Critical = False

Где вместо

OID=1.2.3.4.5

OID=1.2.3.4.6

перечисляются нужные идентификаторы.