我需要在 Windows 上创建带有主题备用名称的 CSR。通常我会使用内置功能IIS
,但它没有提供使用主题备用名称 (SAN) 的替代方案。
我知道我可以使用DigiCert Certificate Utility
它但是它不是一个可以安装的选项。
https://www.digicert.com/util/csr-creation-microsoft-servers-using-digicert-utility.htm
使用 MMC -> 请求新证书没有注册策略。
答案1
找到了解决方法:
MMC -> 证书(本地计算机)-> 右键单击个人文件夹 -> 所有任务 -> 高级操作 -> 创建自定义请求...
我选择Proceed without enrollment policy
并点击下一步。选择(No Template) Legacy key
兼容性和更多选项并使用PKCS #10
。点击下一步并点击Properties
。
输入友好名称和描述,然后点击应用。在每个选项卡上完成更改后,不要忘记点击应用。
https 证书的其他选项卡示例。请记住为通用名称 (CN) 添加有效的主机 + 域名,应类似于www.yoursite.com
或。应在和 类型yoursite.com
下添加主题备用名称。Alternative name
DNS
如果您需要与现有证书类似的新 CSR,请查看该证书详细信息和字段Subject
以及Subject Alternative Name
在选项卡下Extensions
选择。Client Authentication
Server Authentication
Extended Key Usage (application policies)
在选项卡下Private Key
选择Key size
4096和Make private key exportable
。
如果有Key type
襟翼,则选择Exchange
,否则检查是否Select Hash Algorithm
设置为sha256
。
如果你选择的话(No Template) CNG key
它将看起来像这样:
单击“确定”保存,然后将文件另存为Base64
。