Перейти к основному содержанию

Создание SSL сертификата с альтернативными доменными именами

Windows Server

По умолчанию в центре сертификации, сертификаты могут быть привязаны к одному FQDN. Это не всегда удобно, иногда требуется создать один сертификат для нескольких доменных имён. Для создания сертификатов с альтернативными доменными именами нужно в центре сертификации включить функцию SAN.

SAN (Subject Alternative Name) — расширение спецификации X.509 (формат X.509 определён в RFC 5280, обновлён в RFC 6818) позволяет добавлять в сертификат безопасности дополнительные значения, используя поле subjectAltName. Можно добавлять:

  • otherName — Пары type=, value=, включая имена Kerberos (RFC 4556): oid = 1.3.6.1.5.2.2, kerberos-principal (IA5String), или SRVName (RFC 4985): oid = 1.3.6.1.5.5.7.8.7, srv-name (IA5String)
  • rfc822Name— email me@example.com
  • dNSName — DNS-имя host1.example.com
  • x400Address — Почтовый адрес X.400,если Вы в курсе, что это
  • directoryName — Альтернативный DN
  • ediPartyName — Материалы EDI
  • uniformResourceIdentifier — URI ldap://ldap.example.com
  • iPAddress — IP V4/V6 192.168.0.1
  • registeredID — OID

По RFC имена не чувствительны к регистру. Разрешается присутствие нескольких записей, использование subjectAltName решает проблему нескольких имён DNS у одного сервера, плюс IP.

В этом нам поможет утилита certutil.

Запускаем в центре сертификации командную строку под администратором. Выполняем команду:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

certutil

После выполнения команды нужно перезапустить службу Certification Authority. Делаем это сразу из командной строки:

net stop certsvc && net start certsvc

vmware

Для добавления IP и альтернативного доменного имени при генерации сертификата указываем дополнительные атрибуты.

cert

Синтаксис такой:

san:ipaddress=10.11.12.13&dns=vcenter.domain1.local&dns=vcenter.domain2.local&dns=vcenter&dns=vcenter-machine

Теги

Онлайн-курс по устройству компьютерных сетей

На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Реклама ИП «Скоромнов Дмитрий Анатольевич» ИНН 331403723315

 

Похожие материалы

Port-forwarding перенаправление портов в Windows

Начиная с Windows XP в операционной системе Windows имеется встроенная возможность перенаправления сетевых портов — port-forwarding. Более того, любое входящее TCP соединение можно перенаправить не только на другой порт, но и на другой IP адрес.

Теги

BAT скрипт для передергивания сети на сервере Windows Server 2012 R2

Однажды наши виртуальные Windows сервера стали терять сеть. Проблему удалось выявить с сетевыми адаптерами VMware E1000. Примечательно, что в Ubuntu эти сетевухи работают без нареканий, а вот в Windows Server 2012 R2 - сеть иногда зависала.