使用 OpenSSL 制做一个包含 SAN(Subject Alternative Name)的证书
什么是 SAN
SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,能够扩展此证书支持的域名,使得一个证书能够支持多个不一样域名的解析。node
先来看一看 Google 是怎样使用 SAN 证书的,下面是 Youtube 网站的证书信息:git
这里能够看到这张证书的 Common Name 字段是 *.google.com,那么为何这张证书却可以被 www.youtube.com 这个域名所使用呢。缘由就是这是一张带有 SAN 扩展的证书,下面是这张证书的 SAN 扩展信息:ide
这里能够看到,这张证书的 Subject Alternative Name 段中列了一大串的域名,所以这张证书可以被多个域名所使用。对于 Google 这种域名数量较多的公司来讲,使用这种类型的证书可以极大的简化网站证书的管理。网站
使用 openssl 生成带有 SAN 扩展的证书请求文件(CSR)
首先咱们将 openssl 的配置文件复制一份做临时使用,CentOS6 中 openssl 的配置文件在 /etc/pki/tls/openssl.cnf,将这个文件复制到 /tmp 下。google
此文件的格式是相似 ini 的配置文件格式,找到 [ req ] 段落,加上下面的配置:spa
req_extensions = v3_req
这段配置表示在生成 CSR 文件时读取名叫 v3_req 的段落的配置信息,所以咱们再在此配置文件中加入一段名为 v3_req 的配置:code
[ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names
这段配置中最重要的是在最后导入名为 alt_names 的配置段,所以咱们还须要添加一个名为 [ alt_names ] 的配置段:blog
[ alt_names ] DNS.1 = www.ustack.in DNS.2 = www.test.ustack.com
这里填入须要加入到 Subject Alternative Names 段落中的域名名称,能够写入多个。ip
接着使用这个临时配置生成证书:ssl
$ openssl req -new -nodes -keyout ustack.key -out ustack.csr -config /tmp/openssl.cnf
查看证书请求文件的内容:
$ openssl req -text -noout -in ustack.csr
能够看到此证书请求文件中会包含 Subject Alternative Names 字段,并包含以前在配置文件中填写的域名。
使用 openssl 签署带有 SAN 扩展的证书请求
假设使用本机做为子签署 CA 对此证书请求进行签署,签署的方式为:
$ openssl ca -policy policy_anything -out ustack.crt -config /tmp/openssl.cnf -extensions v3_req -infiles ustack.csr
签署后,查看证书的内容:
$ openssl x509 -text -noout -in ustack.crt
使用单条命令实现
以为上面的方式太麻烦了?使用命令一步生成带 SAN 扩展的证书请求文件:
$ openssl req -new -sha256 \
-key ustack.key \
-subj "/C=CN/ST=Beijing/L=Beijing/O=UnitedStack/OU=Devops/CN=www.ustack.com" \
-reqexts SAN \
-config <(cat /etc/pki/tls/openssl.cnf \
<(printf "[SAN]\nsubjectAltName=DNS:www.ustack.in,DNS:www.test.ustack.com")) \
-out ustack.csr
上面生成证书请求时的几个字段的意义:
C => Country ST => State L => City O => Organization OU => Organization Unit CN => Common Name (证书所请求的域名) emailAddress => main administrative point of contact for the certificate
签署上面生成的证书:
$ openssl ca -in ustack.csr \
-extensions SAN \
-config <(cat /etc/pki/tls/openssl.cnf \
<(printf "[SAN]\nsubjectAltName=DNS:www.ustack.in,DNS:www.test.ustack.com")) \
-out ustack.crt
查看证书内容:
$openssl x509 -text -noout -in ustack.crt
参考:
- 1. Chrome:不受信任的证书----openssl签发带Subject Alternative Name的证书
- 2. 通过SAN(Subject Alternative Name)实现证书的多域名安全访问
- 3. SSL: no alternative certificate subject name matches target host name
- 4. 使用openssl生成包含证书链的java用jks证书
- 5. 使用openssl命令制做ecc证书
- 6. 如何使用Openssl 制做CA证书
- 7. [读书笔记]openssl证书制做
- 8. Openssl的证书操做
- 9. 使用OpenSSL生成证书
- 10. 使用 openssl 生成证书
- 更多相关文章...
- • PHP 包含文件 - PHP教程
- • 第一个Hibernate程序 - Hibernate教程
- • 漫谈MySQL的锁机制
- • Composer 安装与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Chrome:不受信任的证书----openssl签发带Subject Alternative Name的证书
- 2. 通过SAN(Subject Alternative Name)实现证书的多域名安全访问
- 3. SSL: no alternative certificate subject name matches target host name
- 4. 使用openssl生成包含证书链的java用jks证书
- 5. 使用openssl命令制做ecc证书
- 6. 如何使用Openssl 制做CA证书
- 7. [读书笔记]openssl证书制做
- 8. Openssl的证书操做
- 9. 使用OpenSSL生成证书
- 10. 使用 openssl 生成证书