Создание OpenSSL сертификата с указанием Alternative Names на предприятии с Microsoft CA

Описание основных полей сертификата

• С — Страна
• ST — Государство
• L — Город
• O — Организация
• OU — Подразделение
• CN — Common Name ( должно содержать основное доменное имя выдаваемого сертификата)
• emailAddress — контактный email выдавшего сертификат

Рассматриваем для сервисов на базе Linux.

Требуется создать ключ сервера (если ранее не создавался или утерян).

Для этого выполним openssl genrsa -out NAMEFILE.key 2048

NAMEFILE.key - имя ключевого файла

2048 - длинна ключа

Создадим файл конфигурации для OpenSSL NAMEFILE.cnf, со следующим содержимым

[req]

default_bits = 2048

prompt = no

default_md = sha256

req_extensions = req_ext

distinguished_name = dn

[ dn ]

C=RU

ST=Russia

L=St. Peterburg

O=COMPANY NAME

OU=IT

emailAddress=your-administrative-address@your-awesome-existing-domain.com

CN = service.your-new-domain.local

[ req_ext ]

subjectAltName = @alt_names

[ alt_names ]

DNS.1 = service.your-new-domain.local

DNS.2 = service

Теперь выполним генерацию запроса сертификата для Windows CA на основе подготовленных NAMEFILE.key и NAMEFILE.cnf для получения NAMEFILE.req

openssl req -config NAMEFILE.cnf -new -key NAMEFILE.key -out NAMEFILE.reg

Отдадим запрос серверу сертификации и получим NAMEFILE.cer

Полученный файл Linux не воспримет, требуется с конвертировать для этого выполним

openssl x509 -outform pem -in NAMEFILE.cer -out NAMEFILE.crt

Все готово, загружаем NAMEFILE.key и NAMEFILE.crt на сервер.