Cоздание CSR запроса с SAN Subject Alternative Names в OpenSSL
Описание
Cоздание CSR запроса с полем SAN (Subject Alternative Names в OpenSSL) необходимо для того, чтобы браузеры такие как Google Chrome, Mozilla Firefox и т.д. не показывали ошибку «Ваше соединение не защищено».
В браузерах Google Chrome с версии 58 и Mozilla Firefox с версии 48, сертификаты в которых не указаны имена хостов в поле SubjectAltName приводят к ошибке «Ваше соединение не защищено» \ «Your connection is not private».
OpenSSL
Скачать последнюю версию OpenSSL для Windows можно здесь.
Генерация CSR запроса
Команда для генерирования файла запроса .csr и ключа .key
openssl req -new -sha256 -nodes -out путь_к_файлу\server.csr -newkey rsa:2048 -keyout путь_к_файлу\server.key -config путь_к_файлу\conf.cnf
Файл конфигурации
Пример файла конфигурации для CSR запроса
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C=RU
ST=Moscow
L=Moscow
O=Company Name
OU=IT Department
emailAddress=example@example.com
CN = hostname.example.com
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = hostname.example.com
DNS.2 = hostname
IP.1 = 10.10.10.10
Конвертирование сертификатов
Конвертирование сертификата .cer в .pfx
Для конвертации сертификата .cer в .pfx с помощью OpenSSL потребуются следующие файлы:
- domain.cer — сертификат который будет конвертироваться в .pfx
- server.key — файл ключа который был создан вместе с .csr запросом
- cacert.cer — файл сертификата центра сертификации
Пример команды:
openssl pkcs12 -export -in путь_к_файлу\domain.cer -inkey путь_к_файлу\server.key -out путь_к_файлу\domain.pfx -certfile cacert.cer
No Comments