Encontrou um tutorial mais claro que teve um openssl.conf
muito mais simples. Nas minhas tentativas originais de adicionar SAN
s, devo ter linhas extra não comentadas no conf que estavam adicionando informações extras aos certs causando conflitos. Seguiu este modelo e o meu certificado está a funcionar em todo o lado:
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = US
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = MN
localityName = Locality Name (eg, city)
localityName_default = Minneapolis
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = Domain Control Validated
commonName = Internet Widgits Ltd
commonName_max = 64
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = kb.example.com
DNS.2 = helpdesk.example.org
DNS.3 = systems.example.net
IP.1 = 192.168.1.1
IP.2 = 192.168.69.14
Obrigado por seus comentários @garethTheRed. Seus comentários me ajudaram a repensar minha abordagem para depurar esse problema.
Até mesmo começar um post aqui me ajuda a expor o que tentei e ajuda o cérebro a pensar em mais soluções possíveis.