Сертификат OpenSSL (версия 3) с альтернативным именем субъекта

Вот простые шаги для вас

При создании CSR вы должны использовать -config и -extensions, а при создании сертификата вы должны использовать -extfile и -extensions

Вот пример:

openssl req -new -nodes -keyout test.key  -out test.csr -days 3650 -subj "/C=US/ST=SCA/L=SCA/O=Oracle/OU=Java/CN=test cert" -config /etc/pki/tls/openssl.cnf -extensions v3_req
openssl x509 -req -days 3650 -in test.csr -CA cacert.pem -CAkey rootCA.key -CAcreateserial -out test.pem -extfile /etc/pki/tls/openssl.cnf  -extensions v3_req

надеюсь это поможет

Хорошо, ни один из других ответов на этой странице мне не помог, и я попробовал каждый из них до последнего. Что сработало для меня, так это небольшая хитрость:

при запросе сертификата:

-config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:$SERVER")) \
-reqexts SAN

и при подписании сертификата:

-extfile <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:$SERVER")) \
-extensions SAN

Обратите внимание, что это трюк с bash, <(some comamnds) делает вывод some commands на стандартный вывод some commands в виде временного файла для внешних команд в bash.

Чтобы не было путаницы, вот рабочий скрипт, который охватывает все с самого начала, включая создание центра сертификации:

# if the server name is undefined, lets default to 'Some-Server'
SERVER="${SERVER:-Some-Server}"

CORPORATION=My-Corp
GROUP=My-Corporate-Group
CITY=City
STATE=State
COUNTRY=US

CERT_AUTH_PASS=`openssl rand -base64 32`
echo $CERT_AUTH_PASS > cert_auth_password
CERT_AUTH_PASS=`cat cert_auth_password`

# create the certificate authority
openssl \
  req \
  -subj "/CN=$SERVER.ca/OU=$GROUP/O=$CORPORATION/L=$CITY/ST=$STATE/C=$COUNTRY" \
  -new \
  -x509 \
  -passout pass:$CERT_AUTH_PASS \
  -keyout ca-cert.key \
  -out ca-cert.crt \
  -days 36500

# create client private key (used to decrypt the cert we get from the CA)
openssl genrsa -out $SERVER.key

# create the CSR(Certitificate Signing Request)
openssl \
  req \
  -new \
  -nodes \
  -subj "/CN=$SERVER/OU=$GROUP/O=$CORPORATION/L=$CITY/ST=$STATE/C=$COUNTRY" \
  -sha256 \
  -extensions v3_req \
  -reqexts SAN \
  -key $SERVER.key \
  -out $SERVER.csr \
  -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:$SERVER")) \
  -days 36500

# sign the certificate with the certificate authority
openssl \
  x509 \
  -req \
  -days 36500 \
  -in $SERVER.csr \
  -CA ca-cert.crt \
  -CAkey ca-cert.key \
  -CAcreateserial \
  -out $SERVER.crt \
  -extfile <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:$SERVER")) \
  -extensions SAN \
  -passin pass:$CERT_AUTH_PASS

Затем мы можем убедиться, что альтернативное имя субъекта находится в окончательном сертификате:

openssl x509 -in Some-Server.crt -text -noout

Соответствующий раздел:

    X509v3 extensions:
        X509v3 Subject Alternative Name: 
            DNS:Some-Server

Так это сработало! Это сертификат, который будет принят всеми основными браузерами (включая Chrome), если вы установите центр сертификации в браузере. Это ca-cert.crt, которое вам нужно будет установить.

Вот пример конфигурации для nginx, которая позволит вам использовать сертификат:

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name  localhost:443;

    ssl_certificate /etc/ssl/certs/Some-Server.crt;
    ssl_certificate_key /etc/ssl/private/Some-Server.key;
    ssl_dhparam /etc/ssl/certs/https-dhparam.pem;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

Я заставил его работать со следующей версией (адрес электронной почты был размещен неправильно):

[ req ]
default_bits        = 2048 
default_keyfile     = privkey.pem 
distinguished_name  = req_distinguished_name
req_extensions          = v3_req
x509_extensions         = v3_ca

[req_distinguished_name]
C = [Press Enter to Continue]
C_default = US 
C_min = 2 
C_max = 2 

O = [Press Enter to Continue]
O_default = default 

0.OU=[Press Enter to Continue]
0.OU_default = default 
1.OU=[Press Enter to Continue]
1.OU_default = PKI 
2.OU=[Press Enter to Continue] 
2.OU_default = ABCD
commonName = Public FQDN of server 
commonName_max = 64
emailAddress = [Press Enter to Continue] 
emailAddress_default = [email protected]

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment

[ v3_ca ]
subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid:always,issuer:always
subjectAltName         = email:[email protected]
issuerAltName          = issuer:copy

Примечания:

• Для создания сертификата я использовал:

  openssl req -config req.cnf -new -nodes -out req.pem -x509
  

• Я не видел большого применения для issuerAltname (если есть, мне было бы интересно узнать где).
• Использование issuer:always не рекомендуется для authorityKeyIdentifier.
• Использование email:copy теперь работает с subjectAltName.
• Раздел v3_req лишний (как и строка req_extensions.

Я только что разработал веб-инструмент, который автоматически сгенерирует эту команду на основе ввода формы и отобразит вывод.

ОБНОВЛЕНИЕ: см. certificatetools.com

Он стал настолько популярен, что я улучшил его и опубликовал под собственным доменным именем.

Он не только предоставит вам загружаемый файл .csr, но также предоставит команды openssl, которые использовались для его создания, и необходимые параметры конфигурации openssl.cnf.

Пример:

Команды OpenSSL

#generate the RSA private key
openssl genpkey -outform PEM -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out priv.key

#Create the CSR
openssl req -new -nodes -key priv.key -config csrconfig.txt -out cert.csr

Конфигурация OpenSSL CSR

[ req ]
default_md = sha256
prompt = no
req_extensions = req_ext
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
commonName = example.com
countryName = US
stateOrProvinceName = Louisiana
localityName = Slidell
organizationName = Acme Inc.
[ req_ext ]
keyUsage=critical,digitalSignature,keyEncipherment
extendedKeyUsage=critical,serverAuth,clientAuth
subjectAltName = @alt_names
[ alt_names ]
IP.0 = 1.1.1.1
IP.1 = 2.2.2.2
DNS.0 = server1.example.com
DNS.1 = server2.example.com
email.0 = [email protected]
email.1 = [email protected]

Какую команду вы использовали для запроса сертификата CSR? Какую команду вы использовали для создания файла сертификата? Разные ответы для разных обстоятельств вы знаете.

Может ты не ставишь

subjectAltName=электронная почта:копировать

в разделе

[v3_req]

Возможно, вы используете openssl x509 для создания сертификата, если это так, вы должны использовать

-extfile /etc/pki/tls/openssl.cnf

потому что без этого он не использует ваш файл конфигурации

Вам также может понадобиться

-расширения v3_req

переключатель командной строки

Я упомянул несколько страниц, и наиболее важные справки находятся на 1. https://geekflare.com/san-ssl-certificate/, 2. https://certificatetools.com/ (см. ответ от user40662) и 3. ответ Raghu K Nair об использовании команды.

Тогда моя успешная попытка:

san.cnf

[ req ]
default_bits       = 2048
default_md         = sha256
distinguished_name = req_distinguished_name
req_extensions     = v3_req
[ req_distinguished_name ]
countryName            = CN                     # C=
stateOrProvinceName    = Shanghai               # ST=
localityName           = Shanghai               # L=
#postalCode             = 200000                 # L/postalcode=
#streetAddress          = "My Address"           # L/street=
organizationName       = My Corporation         # O=
organizationalUnitName = My Department          # OU=
commonName             = myname.mysoftware.mycorporation.com # CN=
emailAddress           = [email protected]     # CN/emailAddress=
[ v3_req ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1   = myname.mysoftware.mycorporation.com
#DNS.2   = other2.com
#DNS.3   = other3.com

Команда:

openssl req -x509 -nodes -days 365 -subj "/C=CN/ST=Shanghai/L=Shanghai/O=My Corporation/OU=My Department/CN=myname.mysoftware.mycorporation.com/[email protected]" -keyout privateKey.pem -out certificate.crt -config san.cnf -extensions v3_req

v3_req требуется с записью subjectAltName в файле конфигурации. Команда

openssl x509 ... -extfile openssl.cnf -extensions v3_req

вставит SAN в сертификат.

Я знаю, что этот поток немного устарел, но на всякий случай, если он работает для всех в Windows, убедитесь, что файл закодирован в кодировке UTF-8, в моем случае я получил сообщение об ошибке, указывающее на ошибку с файлом .cnf, поэтому я открыл его в Notepad ++, установил кодировку файла в UTF-8, сохранил и снова запустил команду openssl, и это помогло.