Генерация CSR запроса для выпуска SSL сертификата с альтернативными именами

С недавних пор Chrome стал ругаться на самоподписанные сертификаты, выдавая ошибку: «Subject Alternative Names is missing». Когда мы генерируем стандартный запрос с использованием команды openssl
 #  openssl req -new -sha256 -nodes -out domain.csr -newkey rsa:2048 -keyout domain.key 
нет возможности задать эти альтернативные имена, а именно по ним браузер и проверят достоверность ресурса. Поэтому что бы такой ошибки не возникало сгенерируем расширенный запрос, выглядит он примерно так:

 # openssl req -new -sha256 -nodes -out domain.csr -newkey rsa:2048 -keyout domain.key -config <(
> cat <<-EOF
> [req]
> default_bits = 2048
> prompt = no
> default_md = sha256
> req_extensions = req_ext
> distinguished_name = dn
>
> [ dn ]
> C=RU
> ST=Moscow
> L=Moscow
> O=Company
> OU=IT
> emailAddress=admin@company.ru
> CN = website.company.ru
>
> [ req_ext ]
> subjectAltName = @alt_names
>
> [ alt_names ]
> DNS.1 = website.company.ru
> DNS.2 = www.website.company.ru
> EOF
> )
Сгенерированный таким образом запрос так же нормально переваривает MS CA, который в итоге выпускает правильный сертификат с альтернативными именами.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *