Embora a resposta da cakemox seja definitivamente a mais fácil, se você puder de alguma forma obter uma cópia da chave privada, há outra maneira, se você não conseguir, assinar novamente a CSR usando um certificado "Enrollment Agent".
Este A postagem do blog css-security.com tem todos os detalhes importantes. Mas a visão geral de alto nível do processo se parece com isso:
- Adquirir um certificado de agente de inscrição
- Modifique um modelo de certificado SSL para exigir um certificado EA para emissão
- Adquira um CSR que precise de informações de SAN
- Use o certificado EA para renunciar ao CSR ao adicionar as informações da SAN
Quando experimentei isso pessoalmente, tenho certeza de que ignorei a parte sobre como modificar o modelo de certificado. Presumindo que você possa gerar um certificado de Agente de Inscrição para si mesmo, o processo real se parece com isso.
Crie um san.inf com as informações da extensão SAN
[Extensions]
2.5.29.17="{text}dns=mysan1.example&dns=mysan2.example"
Assinar novamente a solicitação
certreq -policy -config "myca.example\CA" orig-request.csr san.inf corrected-request.csr
Envie a solicitação corrigida
certreq -submit -config "myca.example\CA" -attrib "CertificateTemplate:MyTemplate" corrected-request.csr
E, em seguida, continue normalmente com o processo de emissão.