是否可以在 IIS 中创建自签名 SAN SSL 证书?如果可以,我该如何创建?在 IIS 中,我只看到创建普通 SSL 证书的选项:
答案1
不幸的是,IIS 管理器无法创建带有 SAN 扩展的证书或请求。您必须使用其他工具。例如,PowerShell 或 certreq.exe 工具(两者都包含在包装盒中)。
电源外壳
最低要求参数
New-SelfsignedCertificate `
-DnsName "mysite.com","www.mysite.com" `
-CertStoreLocation cert:\localmachine\my
更详细的参数
New-SelfsignedCertificate -Subject "CN=www.mysite.com" `
-DnsName "mysite.com","www.mysite.com" `
-EKU "Server Authentication" `
-KeySpec "KeyExchange" `
-KeyUsage "DigitalSignature", "KeyEncipherment" `
-FriendlyName "My web site"
-NotAfter $([datetime]::now.AddYears(1)) `
-CertStoreLocation cert:\localmachine\my
证书请求工具
准备 INF 模板文件(文件扩展名为 .inf),其内容如下:
[NewRequest]
Subject = "CN=www.mysite.com"
KeyLength = 2048
KeyAlgorithm = RSA
ProviderName = "Microsoft Enhanced RSA and AES Cryptographic Provider"
MachineKeySet = true
KeySpec = 1
KeyUsage = 0xa0
RequestType = Cert
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; server authentication
[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=mysite.com&"
_continue_ = "dns=www.mysite.com"
然后针对该INF文件执行以下命令:
certreq -new path\myinftemplate.inf
答案2
什么版本的 Windows?如果是较新版本的 Windows,打开 powershell 并使用新自签名证书命令行开关。您可以使用它-DnsName来提供 SAN 中所需的所有名称的列表。