如何作为 CA 签署多域证书

如何作为 CA 签署多域证书

我已将自己设置为证书颁发机构,以便可以签署开发所需的证书。我已在浏览器中导入了我的 CA 证书,因此我签署的证书毫无疑问会被接受

作为非 CA,我为自己制作了一份证书签名请求,其中包含一个内部域名的公用名,并添加了大约 10 个其他(内部)域名,目的是让我自己作为 CA 对其进行签名。 CSR 有这些名称 - 当我查看它时我可以看到它们。

我使用我自己的 openssl.cnf 文件作为 CA 签署证书,该文件通常用于我的单域证书,并且它似乎已经排除了所有 AltSubjectNames,因此我生成的签名证书仅适用于CN领域。当我尝试将其用于其他域之一时,我的浏览器会抱怨。

我想我需要调整我的 CA openssl.cnf 文件中的扩展名,以免将它们删除。 CA 的手册页将我指向 x509v3_config 的手册页。但读起来很晦涩,我不知道该怎么办。

在互联网上搜索解决方案一无所获 - 有很多关于如何获取 CSR 的描述,但绝对没有关于 CA 如何将 CSR 中的 AltSubjectNames 转移到最终证书中的描述。

它是如何完成的?

答案1

我最终找到了答案。

CA 的 openssl.cnf 文件的 CA_default 部分应包含

copy_entensions = copy

然后请求中的扩展被复制到证书中。

似乎不可能将其限制为仅 su​​bjectAltName 条目。

相关内容