Я работал над этой задачей, чтобы подписать CSR (сгенерированный третьей стороной), который должен быть подписан корневым центром сертификации, который хранится в токене. Звучит как простая работа, за исключением того, что требуется добавить набор расширений, а также альтернативное имя субъекта к сертификату на основе спецификации. Поскольку нет возможности изменить CSR, чтобы включить эту информацию, я предполагаю, что это следует сделать в процессе подписания. Однако я потратил много времени на чтение документации certutil и certreq безрезультатно. Кажется, нет возможности добавить информацию для существующего CSR.
Дополнительная информация: это должно быть сделано с помощью Microsoft CA из-за ограничения токена безопасности, поэтому об OpenSSL не может быть и речи.
Я надеюсь, что кто-то может помочь мне в этом сложном деле.