Перейти к основному содержанию

Создание SSL сертификата с альтернативными доменными именами

Windows Server

По умолчанию в центре сертификации, сертификаты могут быть привязаны к одному FQDN. Это не всегда удобно, иногда требуется создать один сертификат для нескольких доменных имён. Для создания сертификатов с альтернативными доменными именами нужно в центре сертификации включить функцию SAN.

SAN (Subject Alternative Name) — расширение спецификации X.509 (формат X.509 определён в RFC 5280, обновлён в RFC 6818) позволяет добавлять в сертификат безопасности дополнительные значения, используя поле subjectAltName. Можно добавлять:

  • otherName — Пары type=, value=, включая имена Kerberos (RFC 4556): oid = 1.3.6.1.5.2.2, kerberos-principal (IA5String), или SRVName (RFC 4985): oid = 1.3.6.1.5.5.7.8.7, srv-name (IA5String)
  • rfc822Name— email me@example.com
  • dNSName — DNS-имя host1.example.com
  • x400Address — Почтовый адрес X.400,если Вы в курсе, что это
  • directoryName — Альтернативный DN
  • ediPartyName — Материалы EDI
  • uniformResourceIdentifier — URI ldap://ldap.example.com
  • iPAddress — IP V4/V6 192.168.0.1
  • registeredID — OID

По RFC имена не чувствительны к регистру. Разрешается присутствие нескольких записей, использование subjectAltName решает проблему нескольких имён DNS у одного сервера, плюс IP.

В этом нам поможет утилита certutil.

Запускаем в центре сертификации командную строку под администратором. Выполняем команду:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

certutil

После выполнения команды нужно перезапустить службу Certification Authority. Делаем это сразу из командной строки:

net stop certsvc && net start certsvc

vmware

Для добавления IP и альтернативного доменного имени при генерации сертификата указываем дополнительные атрибуты.

cert

Синтаксис такой:

san:ipaddress=10.11.12.13&dns=vcenter.domain1.local&dns=vcenter.domain2.local&dns=vcenter&dns=vcenter-machine

Теги

 

Похожие материалы

Создать флешку с файловой системой FAT16

У нас простая задача. В Windows 10 нужно создать USB флешку с файловой системой FAT16. Эта файловая система устарела, но иногда требуется. В GUI отформатировать флешку в FAT16 уже нельзя.

Теги

Лечим ошибку EventID 8193 в Windows Server 2012 R2

После установки роли DHCP Server при каждой загрузке сервера в журнале появляется ошибка: Volume Shadow Copy Service error: Unexpected error calling routine RegOpenKeyExW(-2147483646,SYSTEM\CurrentControlSet\Services\VSS\Diag,...). hr = 0x80070005, Access is denied.

Теги

Windows 10 — генерация DKIM ключей с помощью подсистемы Linux

Воспользуемся подсистемой Linux и сгенерируем DKIM ключи в ОС Windows 10. DomainKeys Identified Mail (DKIM) — метод e-mail аутентификации, разработанный для обнаружения подделывания сообщений, пересылаемых по email. Метод дает возможность получателю проверить, что письмо действительно было отправлено с заявленного домена.