Cоздание CSR запроса с полем SAN (Subject Alternative Names в OpenSSL) необходимо для того, чтобы браузеры такие как Google Chrome, Mozilla Firefox и т.д. не показывали ошибку «Ваше соединение не защищено».

В браузерах Google Chrome с версии 58 и Mozilla Firefox с версии 48, сертификаты в которых не указаны имена хостов в поле SubjectAltName приводят к ошибке «Ваше соединение не защищено» \ «Your connection is not private».

OpenSSL

Скачать последнюю версию OpenSSL для Windows можно здесь.

Генерация CSR запроса

Комманда для генерирования файла запроса .csr и ключа .key

openssl req -new -sha256 -nodes -out путь_к_файлу\server.csr -newkey rsa:2048 -keyout путь_к_файлу\server.key -config путь_к_файлу\conf.cnf

Пример файла конфигурации для CSR запроса

[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C=RU
ST=Moscow
L=Moscow
O=Company Name
OU=IT Department
emailAddress=example@example.com
CN = hostname.example.com

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = hostname.example.com
DNS.2 = hostname
IP.1 = 10.10.10.10

Конвертирование сертификата .cer в .pfx

Для конвертации сертификата .cer в .pfx с помощью OpenSSL потребуются следующие файлы:
domain.cer — сертификат который будет конвертироваться в .pfx
server.key — файл ключа который был создан вместе с .csr запросом
cacert.cer — файл сертификата центра сертификации

openssl pkcs12 -export -in путь_к_файлу\domain.cer -inkey путь_к_файлу\server.key -out путь_к_файлу\domain.pfx -certfile cacert.cer