Назад | Перейти на главную страницу

Как добавить несколько альтернативных имен субъектов X509v3 во время запроса сертификата (создание CSR) без редактирования файла openssl.cnf

Я хочу сгенерировать CSR для двух доменов. Я пробовал в соответствии с этим http://apetec.com/support/GenerateSAN-CSR.htm Но в файле openssl.cnf такого раздела нет, и я не хочу редактировать openssl.cnf Также пробовал http://blog.endpoint.com/2014/10/openssl-csr-with-alternative-names-one.html но это вызывает ошибку, подобную этой

проблемы при выполнении запроса сертификата 140391851812680: ошибка: 0D07A097: процедуры кодирования asn1: ASN1_mbstring_ncopy: слишком длинная строка: a_mbstr.c: 154: maxsize = 2

Любая идея, как добавить два альтернативных имени субъекта при создании запроса на сертификат

Используйте локальный файл конфигурации

Просто используйте отдельный файл конфигурации.

Затем, когда вы действительно сделаете запрос, сообщите OpenSSL использовать локальный файл конфигурации с -config <filename> параметр.

Вот так:

openssl req -new -key example.key -config example-config.ini -out example.req 

Таким образом, вам не нужно редактировать глобальную конфигурацию.

Также: мне нравится использовать .ini расширение имени файла для моих файлов конфигурации OpenSSL, потому что это обеспечивает удобство двойного щелчка и полезную подсветку синтаксиса при редактировании файла в хорошем текстовом редакторе (например, Notepad ++). (И OpenSSL не заботится о расширении, поэтому я выберу ".ini".)