複数のドミアン xxxx.com xxxx.net に対して https をセットアップする必要があります (単一の共通証明書を使用)
証明書を購入する CA は、証明書署名要求 (CSR) の作成を要求しますが、openssl で生成すると、1 つの名前しか要求されません。
複数のドメインに対して 1 つの CSR を作成する方法
6414 次
1 に答える
13
複数の CN を持つ証明書は避けてください (コメントで提案されているように)。これは、仕様 ( RFC 2818およびRFC 6125 ) がそれが機能するはずであると述べている方法ではなく、一部のクライアント アプリケーションでは機能する可能性がありますが、通常は失敗します。RFC 2818から:
タイプ dNSName の subjectAltName 拡張が存在する場合、それを ID として使用する必要があります。それ以外の場合は、証明書の Subject フィールドの (最も具体的な) Common Name フィールドを使用する必要があります。Common Name の使用は既存の慣行ですが、推奨されておらず、証明機関は代わりに dNSName を使用することをお勧めします。
代わりに、複数のサブジェクト代替名 (SAN) を使用して証明書 (または CSR) を生成します。
OpenSSL を使用している場合は、関連するセクション (および)openssl.cnfを編集 (またはコピーを編集) し、これらのプロパティを設定します。[req][ v3_req ]
[req]
req_extensions = v3_req
[v3_req]
subjectAltName=DNS:www.example1.com,DNS:www.example2.com,DNS:www.example3.com
ここには、(構成ファイルで修正するのではなく) 環境変数を使用するための優れたトリックもあります: http://www.crsr.net/Notes/SSL.html
また、それらの 1 つ (任意) を CN に含めることもできます。
(この回答にも興味があるかもしれません。)
于 2011-12-15T13:01:20.610 に答える