OpenSSL SAN Zertifikat


[req]
req_extensions = v3_req

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = server1.yourdomain.tld
DNS.2 = mail.yourdomain.tld
DNS.3 = www.yourdomain.tld
DNS.4 = www.sub.yourdomain.tld
DNS.5 = mx.yourdomain.tld
DNS.6 = support.yourdomain.tld


openssl genrsa -out srvr1-yourdomain-tld-2048.key 2048
openssl req -new -out srvr1-yourdomain-tld-2048.csr -key srvr1-yourdomain-tld-2048.key -config openssl-san.cfg


openssl req -text -noout -in .csr

OpenSSL Zertifikatanforderung erstellen

Diese Seite enthält eine kurze Beschreibung, wie man ein gültiges Zertifikat für den Apache2 Webserver erstellen kann, und diese dann von einer Zertifizierungsstelle signieren lassen kann.

Für andere Programme (mit OpenSSL Support) sollte es ähnlich funktionieren.


openssl genrsa -out $(hostname -f).key 2048
openssl req -new -key $(hostname -f).key -out $(hostname -f).csr

SSL-Zertifikate mit Microsoft Zertifikatserver (PKI)

Als erstes muss mit Hilfe von OpenSSL ein privater Schlüssel und daraus dann eine neue Zertifikatanforderung erstellt werden.

Auf dem Client

Auf dem Client wird der private Schlüssel und die Anforderung folgendermaßen erstellt:

openssl genrsa -out $(hostname -f).key 1024
openssl req -new -key $(hostname -f).key -out $(hostname -f).csr

[...]
Common Name (eg, YOUR name) []: thisis.myfullqulified.domainname
[...]

Bitte darauf achten, den kompletten Servername, als Common Name angeben.

Auf dem Zertifikatserver (via Webfrontend)

Auf dem Zertifikatserver muss die oben erstelle Anforderung über das Webfrontend (/certsrv/) eingereicht werden. Nach erfolgreichem Abschluss kann das unterschiebene Zertifikat heruntergeladen werden.

  • Ein Zertifikat anfordern
  • erweiterte Zertifikatanforderung
  • Reichen Sie eine Zertifikatanforderung ein, die eine Base64 …
  • den Inhalt der oben erstellen CSR-Datei (netmon.viastore.de.csr) einfügen; Zertifikatevorlage: Webserver
  • Base-64-codiert, Download es Zertifikats als XXXXX.pem