С недавних пор Chrome стал ругаться на самоподписанные сертификаты, выдавая ошибку: «Subject Alternative Names is missing». Когда мы генерируем стандартный запрос с использованием команды openssl
# openssl req -new -sha256 -nodes -out domain.csr -newkey rsa:2048 -keyout domain.key
нет возможности задать эти альтернативные имена, а именно по ним браузер и проверят достоверность ресурса. Поэтому что бы такой ошибки не возникало сгенерируем расширенный запрос, выглядит он примерно так:
# openssl req -new -sha256 -nodes -out domain.csr -newkey rsa:2048 -keyout domain.key -config <( > cat <<-EOF > [req] > default_bits = 2048 > prompt = no > default_md = sha256 > req_extensions = req_ext > distinguished_name = dn > > [ dn ] > C=RU > ST=Moscow > L=Moscow > O=Company > OU=IT > [email protected] > CN = website.company.ru > > [ req_ext ] > subjectAltName = @alt_names > > [ alt_names ] > DNS.1 = website.company.ru > DNS.2 = www.website.company.ru > EOF > )
Сгенерированный таким образом запрос так же нормально переваривает MS CA, который в итоге выпускает правильный сертификат с альтернативными именами.