ドメイン名の証明書、SAN、のsubjectAltName、サブジェクト代替名、DNSを生成するために、OpenSSLを使用してください。
図1は、秘密鍵を生成し、
opensslのgenrsa - アウト sni_test3.key 2048
2.プロファイルを書きます
デフォルトでは、/etc/ssl/openssl.cnf使用されます
サブジェクトの別名を設定し、その設定ファイルを記述する必要があるため
[REQ] distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] COUNTRYNAME = 国 stateOrProvinceName = 省 localityName = 都市 organizationNameの = 会社名 のcommonName = ドメイン名またはIP [v3_req] のsubjectAltName = @alt_names [alt_names] DNS。1 = test1.www.local DNS。2 = test1.tls.local
3.鍵と証明書要求を生成するように構成されました
opensslのREQを- 新しい -key sni_test1.key - アウト sni_test1.csr -config test1.cnf -subj " /C=CN/ST=BeiJing/L=BeiJing/O=tong.com/OU=tong/CN=caotong_test1/emailAddress =トング@ローカル"
閲覧要求
opensslのREQを- で sni_test1.csr -text - noout ... 属性: 要求された機能拡張: 書X509v3サブジェクトの別名: DNS:test1.www.local、DNS:test1.tls.local ...
4新しい証明書を発行し、要求とルート証明書を使用します
opensslのX509 -req -days 3650 -sha1 -CA ../root/root.cer -CAkey ../root/root.key -in sni_test1.csr -out sni_test1.cer \
--CAcreateserial --extensions v3_req --extfile ./test1.cnf
CSRを提供することに加えて、発行したときにも、あなたはtest1.cnfを提供する必要がありますか??
証明書の表示
opensslのX509 - で sni_test1.cer -text - noout ... 書X509v3拡張子: 書X509v3サブジェクトの別名: DNS:test1.www.local、DNS:test1.tls.localを ...
多く:
[HTTPS] [opensslの] OpenSSLの公開鍵、秘密鍵と自己署名証明書
[IPSEC] [strongSwanの】strongSwanのPKIツールで自己署名証明書を生成します