La generación de la RSE para multi-dominio

Cómo generar CSR para mult-dominio.

He encontrado que la generación de la RSE para un solo dominio es la siguiente:

openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr

Pero, ¿cómo puedo generar CSR multi-dominio

  • Probablemente más por ServerFault: votaron a favor de seguir.
  • El último párrafo de la respuesta de Bruno es la mejor respuesta en mi humilde opinión – no se preocupe, sólo tiene que especificar el principal o un único dominio de la RSE, y agregue el resto de los dominios a la hora de generar el certificado. A mi me funciona con ssls.com
InformationsquelleAutor Elisa | 2012-02-06

1 Kommentar

  1. 33

    Para una X. 509 certificado para el soporte de múltiples dominios, debe utilizar múltiples de Nombre Alternativo del Sujeto entradas de DNS, de acuerdo a RFC 2818 (HTTP sobre TLS) (o RFC 6125):

    Si una extensión subjectAltName de tipo dNSName está presente, que DEBE
    se utiliza como la identidad. De lo contrario, el (más específicos) Nombre Común
    campo en el campo Subject del certificado DEBE ser utilizado. Aunque
    el uso del Nombre Común es la práctica existente, que está obsoleto y
    Las Autoridades de certificación se les anima a utilizar la dNSName lugar.

    Se realiza la coincidencia de uso de la coincidencia de las reglas especificadas por
    [RFC2459]. Si más de una identidad de un determinado tipo está presente en
    el certificado (por ejemplo, más de un dNSName nombre, un partido en cualquier
    del conjunto que se considera aceptable.)

    Como se describe en este documento (excepto que me gustaría utilizar -des3 demasiado para el genrsa comando, para proteger la clave privada):

    • Hacer una copia de su inicial openssl.cnf archivo (el original se encuentra probablemente en algún lugar bajo /etc en Linux).
    • Editarlo para agregar req_extensions = v3_req en el [ req ] sección.
    • Editarlo para agregar subjectAltName=DNS:www.example.com,DNS:www.other-example.com (uno DNS: entrada por nombre de host se requieren) en el [ v3_req ] sección.
    • Hacer uso de OpenSSL que el archivo de configuración. Llame a con OPENSSL_CONF=/path/to/your/openssl.cnf openssl req ...

    Dicho esto, yo no se preocupe demasiado acerca de la configuración de cualquier extensión en el CSR. Cualquier buen CA debe ignorar lo que haya establecido en la RSE y sólo se establece lo que en realidad se han verificado cuando se emita el certificado real. Que estaremos contentos de reemplazar cualquier RDN en su Tema DN (por ejemplo, País, Organización, …) así como cualquier extensión (SAN o el Uso de la Clave). En primer lugar, si vamos a cualquier extensión, como se pide en la RSE por parte de la solicitante, este sería un riesgo de seguridad, ya que algunos de los solicitantes podría realmente hacer nada. En segundo lugar, que su forma de hacer dinero extra, por la carga que para la configuración de un par de detalles aquí y allá (por ejemplo, la firma de código de extensión): se va a asegurarse de que sólo se consigue lo que usted ha pagado en su certificado. Entiendo, sin embargo, que es posible que desee poner todos los nombres que usted requiere en su RSE, sólo para estar seguro.

    • Gracias por el comentario acerca de cómo no es importante especificar todos los nombres de dominio que usted está planeando para garantizar en la RSE. Yo estaba colgado en esto, y, a continuación, llevó a que el consejo y, por supuesto, ssls.com había un mecanismo para agregar dominios adicionales después de la importación de la RSE.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Pruebas en línea