%20%E7%9A%84%E8%AF%81%E4%B9%A6%E7%AD%BE%E5%90%8D%E8%AF%B7%E6%B1%82%20(CSR).png)
我需要在 Windows 上创建带有主题备用名称的 CSR。通常我会使用内置功能IIS,但它没有提供使用主题备用名称 (SAN) 的替代方案。
我知道我可以使用DigiCert Certificate Utility它但是它不是一个可以安装的选项。
https://www.digicert.com/util/csr-creation-microsoft-servers-using-digicert-utility.htm
使用 MMC -> 请求新证书没有注册策略。
答案1
找到了解决方法:
MMC -> 证书(本地计算机)-> 右键单击个人文件夹 -> 所有任务 -> 高级操作 -> 创建自定义请求...
我选择Proceed without enrollment policy并点击下一步。选择(No Template) Legacy key兼容性和更多选项并使用PKCS #10。点击下一步并点击Properties。
输入友好名称和描述,然后点击应用。在每个选项卡上完成更改后,不要忘记点击应用。
https 证书的其他选项卡示例。请记住为通用名称 (CN) 添加有效的主机 + 域名,应类似于www.yoursite.com或。应在和 类型yoursite.com下添加主题备用名称。Alternative nameDNS
如果您需要与现有证书类似的新 CSR,请查看该证书详细信息和字段Subject以及Subject Alternative Name
在选项卡下Extensions选择。Client AuthenticationServer AuthenticationExtended Key Usage (application policies)
在选项卡下Private Key选择Key size4096和Make private key exportable。
如果有Key type襟翼,则选择Exchange,否则检查是否Select Hash Algorithm设置为sha256。
如果你选择的话(No Template) CNG key它将看起来像这样:
单击“确定”保存,然后将文件另存为Base64。