Перейти к основному содержанию

Создание SSL сертификата с альтернативными доменными именами

Windows Server

По умолчанию в центре сертификации, сертификаты могут быть привязаны к одному FQDN. Это не всегда удобно, иногда требуется создать один сертификат для нескольких доменных имён. Для создания сертификатов с альтернативными доменными именами нужно в центре сертификации включить функцию SAN.

SAN (Subject Alternative Name) — расширение спецификации X.509 (формат X.509 определён в RFC 5280, обновлён в RFC 6818) позволяет добавлять в сертификат безопасности дополнительные значения, используя поле subjectAltName. Можно добавлять:

  • otherName — Пары type=, value=, включая имена Kerberos (RFC 4556): oid = 1.3.6.1.5.2.2, kerberos-principal (IA5String), или SRVName (RFC 4985): oid = 1.3.6.1.5.5.7.8.7, srv-name (IA5String)
  • rfc822Name— email me@example.com
  • dNSName — DNS-имя host1.example.com
  • x400Address — Почтовый адрес X.400,если Вы в курсе, что это
  • directoryName — Альтернативный DN
  • ediPartyName — Материалы EDI
  • uniformResourceIdentifier — URI ldap://ldap.example.com
  • iPAddress — IP V4/V6 192.168.0.1
  • registeredID — OID

По RFC имена не чувствительны к регистру. Разрешается присутствие нескольких записей, использование subjectAltName решает проблему нескольких имён DNS у одного сервера, плюс IP.

В этом нам поможет утилита certutil.

Запускаем в центре сертификации командную строку под администратором. Выполняем команду:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

certutil

После выполнения команды нужно перезапустить службу Certification Authority. Делаем это сразу из командной строки:

net stop certsvc && net start certsvc

vmware

Для добавления IP и альтернативного доменного имени при генерации сертификата указываем дополнительные атрибуты.

cert

Синтаксис такой:

san:ipaddress=10.11.12.13&dns=vcenter.domain1.local&dns=vcenter.domain2.local&dns=vcenter&dns=vcenter-machine

Теги

 

Похожие материалы

PHP 7.3 — cURL error 60: SSL certificate problem: unable to get local issuer certificate

Имеем PHP 7.3 На Windows. И сайт на IIS. Лечим ошибку: PHP 7.3 - cURL error 60: SSL certificate problem: unable to get local issuer certificate. С чем связана проблема - не совсем понял. У меня проявилось после того, как я засунул сайт за прокси.

Теги

hMailServer — установка SSL сертификата Let's Encrypt

Установим SSL сертификаты на почтовый сервер hMailServer. Используем порты для SSL/TLS: SMTP 587, IMAP 993, POP3 995. Сами сертификаты будем брать бесплатные — Let's Encrypt.