Я создаю самоподписанный сертификат SSL:
$ openssl req -x509 -newkey rsa:2048 -subj 'CN=example.com'
Я хотел бы указать subjectAltName также во время создания, но я не могу найти информацию о том, как это сделать, на странице руководства openssl.
Попробуй записать темуAltName во временный файл (назову его hostextfile) лайк
basicConstraints=CA:FALSE
extendedKeyUsage=serverAuth
subjectAltName=email:my@other.address,RID:1.2.3.4
и ссылку на него в команде openssl через параметр "-extfile", например:
openssl ca -days 730 -in hostreq.pem -out -hostcert.pem -extfile hostextfile
В openssl команда не позволяет включать расширения, такие как subjectAltName, без предварительной записи файла конфигурации. Я написал простую утилиту, которая все делает автоматически. Он доступен на github: https://github.com/rtts/certify
Пример использования:
./certify example.com www.example.com mail.example.com
Это создаст файл с именем example.com.crt который содержит сертификат с альтернативными именами субъектов example.com, www.example.com и mail.example.com.
Создать самозаверяющий сертификат с SubjectAltName
cd /etc/ssl
cat > my.conf <<- "EOF"
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C=UA
ST=Dnepropetrovskaya
L=Kamyanske
O=DMK
OU=OASUP
emailAddress=webmaster@localhost
CN = www.dmkd.dp.ua
[ req_ext ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[ alt_names ]
DNS.0 = www.dmkd.dp.ua
DNS.1 = dmkd.dp.ua
EOF
# Create key
openssl genrsa -des3 -out server.key.secure 2048
# Disable secret phrase for key
openssl rsa -in server.key.secure -out server.insecure.key
# Create request certificate file with params from file my.conf
openssl req -new -key server.insecure.key -out server.csr -config my.conf
# Create certificate with params from file my.conf
openssl x509 -req -days 365 -in server.csr -signkey server.insecure.key -out server.crt -extensions req_ext -extfile my.conf
# Check request file and certificate for SubjectAltName precense
openssl req -text -noout -in server.csr
openssl x509 -in server.crt -text -noout
Я использовал здесь информацию, но сократил ее до той информации, которая нужна для просмотра браузером.
Файл опций расширений x509 v3:
echo "subjectAltName = @alt_names
[alt_names]
DNS.1 = www.example.com" > v3.ext
Внешний ключевой файл:
openssl genrsa -out www.example.com.key 2048
Запрос на подпись CA: (Предполагается, что у вас есть ключ CA и сертификат)
openssl req -new -key www.example.com.key -subj "/CN=www.example.com" -out www.example.com.csr
Подпишите запрос на создание сертификата и включите данные расширения x509:
openssl x509 -req -in www.example.com.csr -CA ca.example.com.crt -CAkey ca.example.com.key -CAcreateserial -out www.example.com.crt -days 500 -sha256 -extfile v3.ext