Один сертификат SSL для 3 контроллеров домена

На самом деле нет необходимости использовать какие-либо оболочки с графическим интерфейсом для OpenSSL, они никогда не включают все параметры и не добавляют ценности библиотеке. Нет ничего плохого в том, чтобы запустить консоль OpenSSL, нажав ? перечислить все команды и найти в сети разъяснения по тем, которые могут вам понадобиться, ИМХО. ;)

Первое, что нужно сделать, это убедиться, что у вас есть действующий openssl.cnf в папке установки openssl. Если вам не хватает этого файла, вы можете скачать его с Вот. Поместите этот файл в свой путь openssl и установите требуемую переменную среды, указывающую на него:

set OPENSSL_CONF=[path & file name of your openssl.cnf file]

Вам также понадобится дополнительный файл конфигурации с перечисленными контроллерами домена. Самый простой - просто повторить свой список в новом файле:

echo subjectAltName=DNS:dc1.example.com,DNS:dc2.example.com,DNS:dc3.example.com > example.com.cnf

Или вы можете создать новый файл конфигурации с помощью блокнота, что угодно. В нем потребуется только одна строка:

subjectAltName=DNS:dc1.example.com,DNS:dc2.example.com,DNS:dc3.example.com

Затем запустите консоль openssl (openssl.exe) и создайте самозаверяющий сертификат, используя эти два файла конфигурации ( openssl.cnf загрузится с req команда автоматически из переменной среды OPENSSL_CONF мы установили ранее):

genrsa -out example.com.key 1024
req -new -key example.com.key -out example.com.csr

Введите все необходимые данные, как вас попросят. Вы можете пропустить ввод парольной фразы (A challenge password []), если этот сертификат будет использоваться на веб-сервере, не требовать его ввода при каждом перезапуске. В этом случае просто оставьте это поле пустым.

Мы почти закончили. Теперь нам нужно только сгенерировать наш сертификат и передать ему другой файл конфигурации, чтобы включить наши псевдонимы DNS (или, в вашем случае, все три контроллера домена):

x509 -req -days 365 -in example.com.csr -signkey example.com.key -text -extfile example.com.cnf -out example.com.crt

Вот и все. У тебя должен быть новый example.com.crt, example.com.key и example.com.csr файлы, готовые к работе в папке openssl, и обновленные с помощью дополнительной конфигурации, которую мы установили. Вы можете проверить свой сертификат, что он включает в себя наши DNS-имена (подойдет блокнот, эти значения представлены открытым текстом).

Очевидно, вы можете изменить эти значения, чтобы отразить свои потребности, и это только пример с использованием ваших собственных примерных значений. Если вы не хотите запускать консоль OpenSSL, вы также можете запустить все эти команды из системной консоли, перед любой командой вызовом OpenSSL.exe с openssl. Это в точности соответствует открытию консоли OpenSSL.

Надеюсь, это то, что вы хотели сделать, не стесняйтесь спрашивать разъяснений в комментариях,

Ура!

Без этой платформы вам не хватало бы списка отзыва сертификатов (CRL), и вам все равно понадобился бы способ установки доверенного корневого центра сертификации. Так что без фреймворка вам, вероятно, придется нелегко.

А службы сертификации встроены в Windows 2008, поэтому, кроме включения функций / ролей, вам не понадобится ничего, кроме того, что у вас уже есть.

Предполагая, что один DC не может обрабатывать потребности LDAP через SSL и что SASL не подходит.

Если вам нужен самоподписанный сертификат SSL, вам, вероятно, понадобится Selfssl7, который можно найти здесь: http://blogs.iis.net/thomad/archive/2010/04/16/setting-up-ssl-made-easy.aspx

Он должен уметь создавать то, что вы ищете.