Generieren von CSR für Multi-Domain
Wie generieren Sie die CSR für mult-domain.
Fand ich, dass die Generierung von CSR für einzelne domain ist wie folgt:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
Aber wie Generiere ich die CSR-multi-domain -
InformationsquelleAutor der Frage Elisa | 2012-02-06
Du musst angemeldet sein, um einen Kommentar abzugeben.
Für ein X. 509-Zertifikat für die Unterstützung von mehreren Domänen, müssen Sie mehrere Subject-Alternative-Name DNS-Einträge, nach RFC 2818 (HTTP über TLS) (oder RFC 6125):
Wie beschrieben in dieses Dokument (außer ich würde
-des3
auch für diegenrsa
Befehl, zum Schutz der privaten Schlüssel):openssl.cnf
- Datei (das original ist wohl irgendwo unter/etc
auf Linux).req_extensions = v3_req
im[ req ]
Abschnitt.subjectAltName=DNS:www.example.com,DNS:www.other-example.com
(eineDNS:
Eintrag pro hostname, die Sie benötigen) in der[ v3_req ]
Abschnitt.OPENSSL_CONF=/path/to/your/openssl.cnf openssl req ...
Dieser sagte, ich würde nicht zu viel sorgen über die Setzung einer Nachfrist in der CSR. Jeder gute CA zu ignorieren, was auch immer Sie sich gesetzt haben, in der CSR und nur einstellen, was haben Sie eigentlich überprüft werden, wenn die Erteilung der eigentliche Zertifikat. Sie werden glücklich ersetzen, RDN in Ihrem Subject DN (z.B. Land, Organisation, ...) sowie jede Erweiterung (SAN oder Key Usage). Erstens, wenn Sie lassen Sie jede Erweiterung, wie gewünscht, in der CSR durch die Antragsteller, wäre dies ein Sicherheitsrisiko, da einige Bewerber konnte wirklich alles bekommen. Zweitens ist das, wie Sie extra Geld verdienen, durch die Erhebung von Ihnen für ein paar bits hier und da (z.B. signieren von code-Erweiterung): Sie werden sicherstellen, dass Sie nur das bekommen, was Sie bezahlt haben für die in Ihrem Zertifikat. Ich verstehe, zwar, dass Sie möchten, um alle Namen, die Sie verlangen in Ihrem CSR, nur um sicher zu sein.
InformationsquelleAutor der Antwort Bruno