OpenSSL SAN 证书

最新推荐文章于 2025-02-03 13:07:58 发布
最新推荐文章于 2025-02-03 13:07:58 发布
阅读量7.3k 收藏 28
点赞数 27
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baishitongtian/article/details/119544269
版权

什么是 SAN

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

先来看一看 Google 是怎样使用 SAN 证书的,下面是 Youtube 网站的证书信息:

这里可以看到这张证书的 Common Name 字段是 *.google.com,那么为什么这张证书却能够被 www.youtube.com 这个域名所使用呢。原因就是这是一张带有 SAN 扩展的证书,下面是这张证书的 SAN 扩展信息:

 

这里可以看到,这张证书的 Subject Alternative Name 段中列了一大串的域名,因此这张证书能够被多个域名所使用。对于 Google 这种域名数量较多的公司来说,使用这种类型的证书能够极大的简化网站证书的管理。

使用 openssl 生成带有 SAN 扩展的证书请求文件(CSR)

首先我们将 openssl 的配置文件复制一份作临时使用,CentOS6 中 openssl 的配置文件在 /etc/pki/tls/openssl.cnf,将这个文件复制到 /tmp 下。

此文件的格式是类似 ini 的配置文件格式,找到 [ req ] 段落,加上下面的配置:

req_extetions = v3_req

这段配置表示在生成 CSR 文件时读取名叫 v3_req 的段落的配置信息,因此我们再在此配置文件中加入一段名为 v3_req 的配置:

[ v3_req ]
# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

这段配置中最重要的是在最后导入名为 alt_names 的配置段,因此我们还需要添加一个名为 [ alt_names ] 的配置段:

[ alt_names ]
DNS.1 = www.ustack.in
DNS.2 = www.test.ustack.com

这里填入需要加入到 Subject Alternative Names 段落中的域名名称,可以写入多个。

接着使用这个临时配置生成证书:

$ openssl req -new -nodes -keyout ustack.key -out ustack.csr -config /tmp/openssl.cnf

查看证书请求文件的内容:

$ openssl req -text -noout -in ustack.csr

可以看到此证书请求文件中会包含 Subject Alternative Names 字段,并包含之前在配置文件中填写的域名。

使用 openssl 签署带有 SAN 扩展的证书请求

假设使用本机作为子签署 CA 对此证书请求进行签署,签署的方式为:

$ openssl ca -policy policy_anything -out ustack.crt -config /tmp/openssl.cnf -extensions v3_req -infiles ustack.csr

签署后,查看证书的内容:

$ openssl x509 -text -noout -in ustack.crt

使用单条命令实现

觉得上面的方式太麻烦了?使用命令一步生成带 SAN 扩展的证书请求文件:

$ openssl req -new -sha256 \
    -key ustack.key \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=UnitedStack/OU=Devops/CN=www.ustack.com" \
    -reqexts SAN \
    -config <(cat /etc/pki/tls/openssl.cnf \
        <(printf "[SAN]\nsubjectAltName=DNS:www.ustack.in,DNS:www.test.ustack.com")) \
    -out ustack.csr

上面生成证书请求时的几个字段的意义:

C  => Country
ST => State
L  => City
O  => Organization
OU => Organization Unit
CN => Common Name (证书所请求的域名)
emailAddress => main administrative point of contact for the certificate

签署上面生成的证书:

$ openssl ca -in ustack.csr \
	-extensions SAN \
	-config <(cat /etc/pki/tls/openssl.cnf \
        <(printf "[SAN]\nsubjectAltName=DNS:www.ustack.in,DNS:www.test.ustack.com")) \ 
	-out ustack.crt

查看证书内容:

$openssl x509 -text -noout -in ustack.crt

参考:

Linux(openssl):用CA证书签名具有SAN和KeyUsage的CSR
风静如云的博客
12-04 385
3.1创建目录sign_csr_with_san_keyusage。而签名CSR时也经常需要带上key usage,那么如何实现呢?3通过CA签CSR with SAN and Key usage。3.4查看证书的key usage。介绍了签名CSR时如果带上SAN。3.3用CA证书签名。
Linux(openssl):用CA证书签名具有SAN的CSR
风静如云的博客
12-27 1596
可以看到证书中的X509v3 Subject Alternative Name信息。3.1创建sign_csr_with_san目录。3通过CA签CSR with SAN。1.创建CA证书,与下面的帖子一样。对于有SAN的CSR如何签名呢?2.创建CSR with SAN。2.1创建csr目录,并进入目录。提供了方法为CSR进行签名。3.6单独查看SAN信息。3.3用CA证书签名。2.2创建csr私钥。
使用openssl生成SAN证书
Arvin
08-12 2928
使用openssl生成SAN证书
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
weixin_34387468的博客
10-20 9313
为什么80%的码农都做不了架构师?>>> ...
openssl 正确生成v3带SAN证书
最新发布
编程之道在明明德在亲民在止于至善
02-03 2095
openssl正确生成v3带SAN证书
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1755
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
openssl 增加域名IP(SAN
jggnice的博客
08-25 182
拷贝openssl.cnf。
grpc、https、oauth2等认证专栏实战3: 使用openssl来制作san类型的证书
码二哥的技术池
07-18 1678
首先,找到openssl软件自带的openssl.cnf的文件路径,(centos系统)拷贝到指定目录下。
使用openssl生成SAN证书 多个注意点
qq_35306993的博客
09-17 720
使用openssl生成SAN证书 多个注意点
证书详解及使用openssl生成自签证书SAN多域名证书
五侠的博客
11-01 2392
生成自签证书 生成SAN多域名证书 使用私有CA签发证书
OpenSSL创建带SAN扩展的证书并进行CA自签
热门推荐
liwei2633的专栏
09-20 1万+
什么是 SANSAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。来看看百度的证书,百度证书的扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书 发现的确是用的前面的百度证书 所以SAN带来
通过SAN(Subject Alternative Name)实现证书的多域名安全访问
weixin_33946605的博客
01-26 698
在为vShield Manager创建安全证书时需要实现计算机名、完全合格域名、及IP地址的安全访问,而通过微软企业CA申请证书时默认只能实现其中之一的安全访问,此时就需要通过在Additional Attributes中添加额外的信息实现上述需求。在Additional Attributes中添加多域名及IP地址的格式为:(假如计算机名:xy ,完全合格域名:xy.abc....
openssl颁发包含主题替代名的证书SAN
一个金牛座猿猿子的技术分享空间
11-21 2579
在 X.509 证书中,commonName(CN)字段只能有一个值。如果让证书支持多个域名和IP地址,需要用到主题替代名称–subjectAltName。 第一步,制作CA根证书 第二步:颁发证书
gRPC之SAN证书生成
YIYIYI
12-12 1035
gRPC之SAN证书生成
SAN SSL证书是什么?有什么作用
SSL加密技术
05-06 682
SSL证书使用公共密钥基础结构,该结构使用私有和公共密钥来确保服务器与访问者的浏览器之间的加密通信。它可以防止对服务器的任何未经授权的访问,从而保护所存储的客户数据。SSL证书的类型较多,这里主要介绍一下SAN SSL证书是什么及其作用。 SAN SSL证书使您可以通过在注册时添加到SAN字段来确保域名和子域,本地主机名和IP地址的安全性,证书的安装过程和管理也更易于管理,也就是我们常说的多域名SSL证书。 一台服务器不允许安装多个SSL证书,如果有多个不同的域名需要保护则可以选择SAN SSL证书。S
使用Openssl生成多域名(SAN)csr文件和证书
runningcode的博客
04-21 5060
1.创建一个多域名的配置文件 随便找一个地方创建配置文件example.com.conf # example.com.conf [ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name # 生成v3版本带扩展属性的证书 req_extensions = ...
OpenSSL 生成证书
优秀的亮亮
02-19 5970
OpenSSL 生成证书
centos的openssl 配置SAN 证书
07-14
在CentOS上使用OpenSSL生成带有SAN证书,您可以按照以下步骤进行操作: 1. 确保您的系统已经安装了OpenSSL。如果没有安装,请使用以下命令安装: ``` sudo yum install openssl ``` 2. 创建一个名为`openssl.cnf`的配置文件。可以使用以下命令创建并编辑该文件: ``` sudo vi openssl.cnf ``` 3. 在`openssl.cnf`文件中添加以下内容来定义SAN扩展: ``` [req] req_extensions = v3_req [v3_req] subjectAltName = @alt_names [alt_names] DNS.1 = example.com DNS.2 = www.example.com ``` 将`example.com`和`www.example.com`替换为您要在证书中包含的实际域名。 4. 生成证书的私钥和证书签发请求(CSR)。执行以下命令,并将`example.key`和`example.csr`替换为您想要的文件名: ``` openssl req -newkey rsa:2048 -nodes -keyout example.key -out example.csr -config openssl.cnf ``` 在生成CSR时,根据提示填写相应的信息,如国家、组织、通用名称等。 5. 使用CSR向证书颁发机构(CA)申请证书签名,或者如果您是自签名证书,则可以使用以下命令生成自签名证书: ``` openssl x509 -req -in example.csr -signkey example.key -out example.crt -extensions v3_req -extfile openssl.cnf ``` 这将使用CSR和私钥生成带有SAN证书`example.crt`。 现在,您已经成功生成了带有SAN证书。请注意,在实际部署中,请使用受信任的证书颁发机构(CA)颁发的证书以获得最佳的安全性和信任度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值