OpenSSL SAN 证书

最新推荐文章于 2024-09-15 02:48:02 发布
最新推荐文章于 2024-09-15 02:48:02 发布
阅读量6k 收藏 10
点赞数 2
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baishitongtian/article/details/119544269
版权

什么是 SAN

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

先来看一看 Google 是怎样使用 SAN 证书的,下面是 Youtube 网站的证书信息:

这里可以看到这张证书的 Common Name 字段是 *.google.com,那么为什么这张证书却能够被 www.youtube.com 这个域名所使用呢。原因就是这是一张带有 SAN 扩展的证书,下面是这张证书的 SAN 扩展信息:

 

这里可以看到,这张证书的 Subject Alternative Name 段中列了一大串的域名,因此这张证书能够被多个域名所使用。对于 Google 这种域名数量较多的公司来说,使用这种类型的证书能够极大的简化网站证书的管理。

使用 openssl 生成带有 SAN 扩展的证书请求文件(CSR)

首先我们将 openssl 的配置文件复制一份作临时使用,CentOS6 中 openssl 的配置文件在 /etc/pki/tls/openssl.cnf,将这个文件复制到 /tmp 下。

此文件的格式是类似 ini 的配置文件格式,找到 [ req ] 段落,加上下面的配置:

req_extetions = v3_req

这段配置表示在生成 CSR 文件时读取名叫 v3_req 的段落的配置信息,因此我们再在此配置文件中加入一段名为 v3_req 的配置:

[ v3_req ]
# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

这段配置中最重要的是在最后导入名为 alt_names 的配置段,因此我们还需要添加一个名为 [ alt_names ] 的配置段:

[ alt_names ]
DNS.1 = www.ustack.in
DNS.2 = www.test.ustack.com

这里填入需要加入到 Subject Alternative Names 段落中的域名名称,可以写入多个。

接着使用这个临时配置生成证书:

$ openssl req -new -nodes -keyout ustack.key -out ustack.csr -config /tmp/openssl.cnf

查看证书请求文件的内容:

$ openssl req -text -noout -in ustack.csr

可以看到此证书请求文件中会包含 Subject Alternative Names 字段,并包含之前在配置文件中填写的域名。

使用 openssl 签署带有 SAN 扩展的证书请求

假设使用本机作为子签署 CA 对此证书请求进行签署,签署的方式为:

$ openssl ca -policy policy_anything -out ustack.crt -config /tmp/openssl.cnf -extensions v3_req -infiles ustack.csr

签署后,查看证书的内容:

$ openssl x509 -text -noout -in ustack.crt

使用单条命令实现

觉得上面的方式太麻烦了?使用命令一步生成带 SAN 扩展的证书请求文件:

$ openssl req -new -sha256 \
    -key ustack.key \
    -subj "/C=CN/ST=Beijing/L=Beijing/O=UnitedStack/OU=Devops/CN=www.ustack.com" \
    -reqexts SAN \
    -config <(cat /etc/pki/tls/openssl.cnf \
        <(printf "[SAN]\nsubjectAltName=DNS:www.ustack.in,DNS:www.test.ustack.com")) \
    -out ustack.csr

上面生成证书请求时的几个字段的意义:

C  => Country
ST => State
L  => City
O  => Organization
OU => Organization Unit
CN => Common Name (证书所请求的域名)
emailAddress => main administrative point of contact for the certificate

签署上面生成的证书:

$ openssl ca -in ustack.csr \
	-extensions SAN \
	-config <(cat /etc/pki/tls/openssl.cnf \
        <(printf "[SAN]\nsubjectAltName=DNS:www.ustack.in,DNS:www.test.ustack.com")) \ 
	-out ustack.crt

查看证书内容:

$openssl x509 -text -noout -in ustack.crt

参考:

艺术的冬瓜
关注
专栏目录
Linux(openssl):用CA证书签名具有SAN的CSR
风静如云的博客
12-27 1445
可以看到证书中的X509v3 Subject Alternative Name信息。3.1创建sign_csr_with_san目录。3通过CA签CSR with SAN。1.创建CA证书,与下面的帖子一样。对于有SAN的CSR如何签名呢?2.创建CSR with SAN。2.1创建csr目录,并进入目录。提供了方法为CSR进行签名。3.6单独查看SAN信息。3.3用CA证书签名。2.2创建csr私钥。
OpenSSL创建带SAN扩展的证书并进行CA自签
热门推荐
liwei2633的专栏
09-20 1万+
什么是 SANSAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。来看看百度的证书,百度证书的扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书 发现的确是用的前面的百度证书 所以SAN带来
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
weixin_34387468的博客
10-20 9160
为什么80%的码农都做不了架构师?>>> ...
使用openssl生成SAN证书
Arvin
08-12 2671
使用openssl生成SAN证书
OpenSSL证书通过Subject Alternative Name扩展字段扩展证书支持的域名
最新发布
weixin_31640385的博客
09-15 264
1、概述 1.1 什么是Subject Alternative Name(证书主体别名)   SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。它允许一个证书支持多个不同的域名。通过使用SAN字段,可以在一个证书中指定多个DNS名称(域名)、IP地址或其他类型的标识符,这样证书就可以同时用于多个不同的服务或主机上。这种灵活性意味着企业不需要...
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1506
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
openssl 增加域名IP(SAN
jggnice的博客
08-25 63
拷贝openssl.cnf。
grpc、https、oauth2等认证专栏实战3: 使用openssl来制作san类型的证书
码二哥的技术池
07-18 1613
首先,找到openssl软件自带的openssl.cnf的文件路径,(centos系统)拷贝到指定目录下。
使用openssl生成SAN证书 多个注意点
qq_35306993的博客
09-17 686
使用openssl生成SAN证书 多个注意点
openssl创建自认证证书后,添加在springboot配置中,从而发起https请求,要求http和https请求兼容
csdnfzp2016的博客
03-29 2025
openssl创建自认证证书 我是按照这个博客来创建的自认证证书 openssl自认证证书创建 通过openssl指令来生成证书 #生成秘钥 openssl genrsa -out private.key 2048 #生成用于申请请求的证书文件csr,一般会将该文件发送给CA机构进行认证,本例使用自签名证书 openssl req -new -key private.key -out requ...
centos的openssl 配置SAN 证书
07-14
在CentOS上使用OpenSSL生成带有SAN证书,您可以按照以下步骤进行操作: 1. 确保您的系统已经安装了OpenSSL。如果没有安装,请使用以下命令安装: ``` sudo yum install openssl ``` 2. 创建一个名为`openssl.cnf...
通过SAN(Subject Alternative Name)实现证书的多域名安全访问
weixin_33946605的博客
01-26 671
在为vShield Manager创建安全证书时需要实现计算机名、完全合格域名、及IP地址的安全访问,而通过微软企业CA申请证书时默认只能实现其中之一的安全访问,此时就需要通过在Additional Attributes中添加额外的信息实现上述需求。在Additional Attributes中添加多域名及IP地址的格式为:(假如计算机名:xy ,完全合格域名:xy.abc....
gRPC之SAN证书生成
YIYIYI
12-12 848
gRPC之SAN证书生成
SAN SSL证书是什么?有什么作用
SSL加密技术
05-06 632
SSL证书使用公共密钥基础结构,该结构使用私有和公共密钥来确保服务器与访问者的浏览器之间的加密通信。它可以防止对服务器的任何未经授权的访问,从而保护所存储的客户数据。SSL证书的类型较多,这里主要介绍一下SAN SSL证书是什么及其作用。 SAN SSL证书使您可以通过在注册时添加到SAN字段来确保域名和子域,本地主机名和IP地址的安全性,证书的安装过程和管理也更易于管理,也就是我们常说的多域名SSL证书。 一台服务器不允许安装多个SSL证书,如果有多个不同的域名需要保护则可以选择SAN SSL证书。S
OpenSSL 生成证书
优秀的亮亮
02-19 5916
OpenSSL 生成证书
使用Openssl生成多域名(SAN)csr文件和证书
runningcode的博客
04-21 4753
1.创建一个多域名的配置文件 随便找一个地方创建配置文件example.com.conf # example.com.conf [ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name # 生成v3版本带扩展属性的证书 req_extensions = ...
多域名证书,SAN SSL,通配符证书,UCC证书
cheung10086的博客
05-30 315
现在常用的 SAN证书类型有2种: 1. 多个单域名SAN,单域名可以是顶级域名,也可以是随便几级域名都是可以的。 2. 多个通配符证书SAN,这种证书就是一张证书包含多个 通配符证书。一般一张通配符证书只能适用于所申请域名的下一级子域名及其本身,如果你想3级域名,4级域名,N级域名,...
了解通配符 SSL 证书SAN SSL
lavin1614
12-23 711
多域 SSL 是一种特殊用途的 SSL 证书,它可以仅使用一个 SSL 证书和一个 IP 地址来保护多个主域、子域或公共 IP 地址。多用途 SSL 最初是为统一通信应用程序提出的解决方案。如今,它可以让任何计划将多个主域或子域合并到一个 SSL 证书中的人受益。通配符证书:保护主域和多个子域(例如、、)。SAN SSL 证书:它保护一个主域名,以及最多 500 个主题备用名称(例如,主域、IP 地址、通用名称),因提供商而异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值