电源外壳

电源外壳

是否可以在 IIS 中创建自签名 SAN SSL 证书?如果可以,我该如何创建?在 IIS 中,我只看到创建普通 SSL 证书的选项:

在此处输入图片描述

答案1

不幸的是,IIS 管理器无法创建带有 SAN 扩展的证书或请求。您必须使用其他工具。例如,PowerShell 或 certreq.exe 工具(两者都包含在包装盒中)。

电源外壳

最低要求参数

New-SelfsignedCertificate `
    -DnsName "mysite.com","www.mysite.com" `
    -CertStoreLocation cert:\localmachine\my

更详细的参数

New-SelfsignedCertificate -Subject "CN=www.mysite.com" `
    -DnsName "mysite.com","www.mysite.com" `
    -EKU "Server Authentication" `
    -KeySpec "KeyExchange" ` 
    -KeyUsage "DigitalSignature", "KeyEncipherment" `
    -FriendlyName "My web site"
    -NotAfter $([datetime]::now.AddYears(1)) `
    -CertStoreLocation cert:\localmachine\my

证书请求工具

准备 INF 模板文件(文件扩展名为 .inf),其内容如下:

[NewRequest]
Subject = "CN=www.mysite.com"
KeyLength = 2048
KeyAlgorithm = RSA
ProviderName = "Microsoft Enhanced RSA and AES Cryptographic Provider"
MachineKeySet = true
KeySpec = 1
KeyUsage = 0xa0
RequestType = Cert
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; server authentication
[Extensions] 
2.5.29.17 = "{text}" 
_continue_ = "dns=mysite.com&" 
_continue_ = "dns=www.mysite.com"

然后针对该INF文件执行以下命令:

certreq -new path\myinftemplate.inf

答案2

什么版本的 Windows?如果是较新版本的 Windows,打开 powershell 并使用新自签名证书命令行开关。您可以使用它-DnsName来提供 SAN 中所需的所有名称的列表。

相关内容