Como emitir um certificado SSL com extensão SAN?

1. Meu CSR não continha SAN. As extensões devem ser especificadas em req_extensions em vez de x509_extensions .
2. Existe um erro no comando x509 :

   Extensions in certificates are not transferred to certificate requests and vice versa.

Então resolvi meu problema com o comando ca :

1. Criada a pasta ca/newcerts vazia e o arquivo ca/index.txt vazio.

2. Editado ssl.conf :

   [ca]
   default_ca = CA_default
   
   [CA_default]
   dir = ./ca
   database = $dir/index.txt
   new_certs_dir = $dir/newcerts
   serial = $dir/serial
   private_key = ./root.key
   certificate = ./root.crt
   default_days = 3650
   default_md = sha256
   policy = policy_anything
   copy_extensions = copyall
   
   [policy_anything]
   countryName = optional
   stateOrProvinceName = optional
   localityName = optional
   organizationName = optional
   organizationalUnitName = optional
   commonName = supplied
   emailAddress = optional
   
   [req]
   prompt = no
   distinguished_name = req_distinguished_name
   req_extensions = v3_ca
   
   [req_distinguished_name]
   CN = 127.0.0.1
   
   [v3_ca]
   subjectAltName = @alt_names
   
   [alt_names]
   IP.1 = 127.0.0.1
   IP.2 = ::1
   DNS.1 = localhost
   

3. Comandos Ran:

   openssl genrsa -out ssl.key 2048
   openssl req -new -config ssl.conf -key ssl.key -out ssl.csr
   openssl ca -config ssl.conf -create_serial -batch -in ssl.csr -out ssl.crt