Generieren von CSR für Multi-Domain

Wie generieren Sie die CSR für mult-domain.

Fand ich, dass die Generierung von CSR für einzelne domain ist wie folgt:

openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr

Aber wie Generiere ich die CSR-multi-domain -

InformationsquelleAutor der Frage Elisa | 2012-02-06

  1. 30

    Für ein X. 509-Zertifikat für die Unterstützung von mehreren Domänen, müssen Sie mehrere Subject-Alternative-Name DNS-Einträge, nach RFC 2818 (HTTP über TLS) (oder RFC 6125):

    Wenn ein subjectAltName-Erweiterung vom Typ DNS-name vorhanden ist, das MUSS
    verwendet werden, wie die Identität. Ansonsten werden die (spezifischen) Common Name
    Feld im Feld Subject des Zertifikats MUSS verwendet werden. Obwohl
    die Verwendung der Common Name ist die bisherige Praxis, es ist veraltet und
    Zertifizierung die Behörden dazu angehalten, die Verwendung der DNS-name statt.

    Erfolgt der Abgleich mit der passenden Regeln angegeben
    [RFC2459]. Wenn mehr als eine Identität eines bestimmten Typs ist in
    das Zertifikat (z.B., mehr als ein DNS-name name, ein Spiel in einem
    der Satz gilt als akzeptabel.)

    Wie beschrieben in dieses Dokument (außer ich würde -des3 auch für die genrsa Befehl, zum Schutz der privaten Schlüssel):

    • Machen Sie eine Kopie Ihrer ursprünglichen openssl.cnf - Datei (das original ist wohl irgendwo unter /etc auf Linux).
    • Bearbeiten, hinzufügen req_extensions = v3_req im [ req ] Abschnitt.
    • Bearbeiten, hinzufügen subjectAltName=DNS:www.example.com,DNS:www.other-example.com (eine DNS: Eintrag pro hostname, die Sie benötigen) in der [ v3_req ] Abschnitt.
    • Machen, die OpenSSL verwenden, die Konfiguration-Datei. Rufen Sie es mit OPENSSL_CONF=/path/to/your/openssl.cnf openssl req ...

    Dieser sagte, ich würde nicht zu viel sorgen über die Setzung einer Nachfrist in der CSR. Jeder gute CA zu ignorieren, was auch immer Sie sich gesetzt haben, in der CSR und nur einstellen, was haben Sie eigentlich überprüft werden, wenn die Erteilung der eigentliche Zertifikat. Sie werden glücklich ersetzen, RDN in Ihrem Subject DN (z.B. Land, Organisation, ...) sowie jede Erweiterung (SAN oder Key Usage). Erstens, wenn Sie lassen Sie jede Erweiterung, wie gewünscht, in der CSR durch die Antragsteller, wäre dies ein Sicherheitsrisiko, da einige Bewerber konnte wirklich alles bekommen. Zweitens ist das, wie Sie extra Geld verdienen, durch die Erhebung von Ihnen für ein paar bits hier und da (z.B. signieren von code-Erweiterung): Sie werden sicherstellen, dass Sie nur das bekommen, was Sie bezahlt haben für die in Ihrem Zertifikat. Ich verstehe, zwar, dass Sie möchten, um alle Namen, die Sie verlangen in Ihrem CSR, nur um sicher zu sein.

    InformationsquelleAutor der Antwort Bruno

Schreibe einen Kommentar