Bisakah ada yang memberi tahu saya bagaimana saya menambahkan sejumlah Nama Alternatif Subjek ke CSR yang ada?
Saya tidak berbicara tentang menghasilkan CSR dengan SAN atau menambahkan SAN pada waktu penandatanganan - Saya tahu bagaimana melakukan kedua hal ini.
Latar Belakang: Masalah yang kami miliki adalah sasis blade HP, memungkinkan Anda untuk menghasilkan CSR, tetapi mereka hanya memperbolehkan SAN tunggal. Kami tidak dapat menggunakan CSR yang dihasilkan di tempat lain karena kami tidak dapat menggunakan sertifikat yang dihasilkan karena tidak ada cara (yang dapat saya temukan) untuk mengunggah kunci ke sasis blade.
Proses standar CA kami tidak memungkinkan untuk menambahkan SAN sedang menandatangani waktu. Mereka bersedia untuk bereksperimen, namun saya mencoba untuk menemukan solusi pada akhirnya karena ini berarti kita tidak perlu bergantung pada mereka yang memiliki proses non standar untuk kita - dalam pengalaman saya jika mereka perlu menggunakan proses non standar hidup pada akhirnya akan sulit. Misalnya ketika seorang anggota staf yang mengetahui proses non-standar tidak hadir karena pergi, dll.
Metode saat ini adalah menghubungkan ke admin onboard bladechassis melalui web gui dan menghasilkan CSR dengan CN tunggal.
Web gui hanya memungkinkan untuk satu SAN dalam CSR.
Kemudian kita menandatanganinya dengan bait berikut dalam konfigurasi openssl:
[ v3_ca ]
subjectAltName = "DNS:bladesystem8,DNS:bladesystem8.services.adelaide.edu.au,DNS:bladesystem8-backup,DNS:bladesystem8-backup.services.adelaide.edu.au"
Sertifikat yang dihasilkan memiliki SAN tambahan.
sumber
Jawaban:
Jika sasis Anda tidak mendukung penambahan SAN, Anda harus melepaskan kunci sasis dan menghasilkan CSR dengan openssl.
Pastikan
req_extensions = v3_req
tidak dihapus di[ req ]
bagian ini.Tambahkan
subjectAltName
ke[ v3_req ]
bagian.Hasilkan CSR baru.
Anda tidak dapat mengedit CSR yang ada.
sumber
Catatan penting: Semua ini agak spekulatif, jadi jika Anda tenggelam dalam kode dan tidak setuju dengan apa yang saya katakan, percayalah kodenya. Saya bukan ahli CA, saya hanya memainkannya di TV. Yang mengatakan:
Sebagai fitur CSR, ini akan sulit. Langkah terakhir dalam menghasilkan CSR secara terprogram adalah untuk hash semua yang Anda buat, dan kemudian menandatanganinya dengan kunci pribadi. Jadi, selagi Anda bisa menambahkan atribut-atribut itu ke teks CSR, tanda tangannya tidak cocok dengan kontennya, jadi CA tidak akan menandatanganinya.
Namun, dalam kasus Anda, Anda mengontrol (atau setidaknya berhubungan dengan) CA. Ini memberi Anda dua opsi:
Dari jumlah tersebut, # 1 tampaknya yang paling mudah. Anda harus mematahkan segel yang tidak jelas pada OpenSSL untuk membuatnya melakukan ini, tetapi ia memiliki beberapa fungsi yang seharusnya membuat sedikit lebih mudah. Saya akan mulai dengan asn1parse, yang akan menunjukkan kepada Anda bagaimana memecah CSR.
sumber
site.com
kewww.site.com
cert sebagai SAN).Sementara jawaban cakemox jelas yang paling mudah jika Anda bisa mendapatkan salinan kunci privat, ada cara lain jika Anda tidak bisa dengan dasarnya menandatangani ulang CSR menggunakan sertifikat "Agen Pendaftaran".
Posting blog css-security.com ini memiliki semua detail seluk beluk. Tetapi gambaran umum proses tingkat tinggi terlihat seperti ini:
Ketika saya mencoba ini secara pribadi, saya cukup yakin saya melewatkan bagian tentang memodifikasi templat sertifikat. Anggap Anda dapat menghasilkan sertifikat Agen Pendaftaran untuk diri sendiri, proses yang sebenarnya terlihat seperti ini.
Buat san.inf dengan info ekstensi SAN di dalamnya
Tanda tangani kembali permintaan
Kirim permintaan yang diperbaiki
Dan kemudian melanjutkan seperti biasa dengan proses penerbitan.
sumber