„Subject Alternative Name“-Zertifikate erlauben einem einzigen Host, mehrere unterschiedliche alternative Hostnamen zuzuordnen.<\/p>\n
Der Request, mit den unterschiedlichen Hostnamen, wird entweder mit openssl erzeugt oder es wird ein Request, der unterschiedliche Hostnamen enth\u00e4lt, auf das System kopiert.<\/p>\n
F\u00fcr den ersten Fall muss in der Sektion [ req ] in der openssl.cnf ein Parameter mit der Bezeichnung req_extensions hinzugef\u00fcgt werden.<\/p>\n
[bash]
\n[ req ]
\ndefault_bits = 2048 # Size of keys
\ndistinguished_name = req_distinguished_name
\n# x509_extensions = v3_ca # extensions to add to the self signed cert<\/p>\n
req_extensions = v3_req
\n[\/bash]<\/p>\n
Dieser Parameter verweist auf eine andere Sektion, die die massgebliche Zertifikatserweiterung (Extension) Subject Alternative Name<\/strong> enth\u00e4lt.<\/p>\n [bash] Enth\u00e4lt der erzeugte oder auf das System kopierte Request die subjectAltName’s schon muss in dem Abschnitt, der verwendeten CA die Option copy_extensions hinzugef\u00fcgt werden. Hiermit werden die SAN’s aus dem Request in der von der CA signierte Zertifikat \u00fcbernommen.<\/p>\n [bash] Nun kann mit folgenden Aufrufen eine RSA-Schl\u00fcsseldatei erzeugt:<\/p>\n [bash] Und der Zertifikatsrequest f\u00fcr das SAN-Zertifikat generiert:<\/p>\n [bash] Der Zertifikatsrequest wird nun von der Sub_CA signiert.<\/p>\n [bash] F\u00fcr den Import in einen IIS oder \u00e4hnliches wird das Zertifikat SANert.pem, der private Schl\u00fcssel SANkey.pem sowie das Zertifikat der ausstellenden CA SUBCAcert.pem in eine pkcs12-kodierte Datei konvertiert.<\/p>\n [bash] http:\/\/documentation.progress.com\/output\/Iona\/artix\/5.5\/security_guide_java\/i382674.html „Subject Alternative Name“-Zertifikate erlauben einem einzigen Host, mehrere unterschiedliche alternative Hostnamen zuzuordnen. Der Request, mit den unterschiedlichen Hostnamen, wird entweder mit openssl erzeugt oder es wird ein Request, der unterschiedliche Hostnamen enth\u00e4lt, auf das System kopiert. F\u00fcr den ersten Fall … Weiterlesen
\n[ v3_req ]
\nsubjectAltName = DNS:www.zerfallskonstante.de, DNS:mail.zerfallskonstande.de
\n[\/bash]<\/p>\n
\ncopy_extensions = copy
\n[\/bash]<\/p>\n
\nopenssl genrsa -aes256 -out .\/subCA\/private\/SANkey.pem -rand .\/subCA\/private\/.rand 2048
\n[\/bash]<\/p>\n
\nopenssl req -config .\/openssl.cnf -new -key .\/subCA\/private\/SANkey.pem -out .\/subCA\/SANreq.pem
\n[\/bash]<\/p>\n
\nopenssl ca -config ..\/openssl.cnf -name Sub_CA -in .\/subCA\/SANreq.pem -out .\/subCA\/certs\/SANcert.pem
\n[\/bash]<\/p>\n
\nopenssl pkcs12 -export -out SANcert.pfx -inkey .\/subCA\/private\/SANkey.pem -in .\/subCA\/cert\/SANcert.pem -certfile .\/subCA\/cert\/SUBCA.pem
\n[\/bash]<\/p>\n
\nhttp:\/\/cmrg.fifthhorseman.net\/wiki\/SubjectAltName
\nhttp:\/\/www.linuxtopia.org\/online_books\/linux_system_administration\/debian_linux_guides\/debian_linux_reference_guide\/index.html<\/p>\n","protected":false},"excerpt":{"rendered":"