Não é necessário usar nenhum wrapper GUI no OpenSSL, eles nunca incluem todas as opções e não adicionam valor à biblioteca. Nada de errado com a ativação do console do OpenSSL, pressionando ?
para listar todos os comandos e encontrar esclarecimentos on-line para aqueles que você pode precisar, IMHO. ;)
A primeira coisa a fazer é ter certeza de que você tem um arquivo openssl.cnf
válido na pasta de instalação do openssl. Se você está perdendo este arquivo, então você pode baixá-lo de aqui . Coloque este arquivo em seu caminho openssl e defina a variável de ambiente necessária para apontá-lo:
set OPENSSL_CONF=[path & file name of your openssl.cnf file]
Você também precisará de um arquivo de configuração adicional com seus controladores de domínio listados. O mais simples é apenas ecoar sua lista em um novo arquivo:
echo subjectAltName=DNS:dc1.example.com,DNS:dc2.example.com,DNS:dc3.example.com > example.com.cnf
Ou você pode criar um novo arquivo de configuração com um bloco de notas, o que for. Isso exigirá apenas essa linha única:
subjectAltName=DNS:dc1.example.com,DNS:dc2.example.com,DNS:dc3.example.com
Em seguida, inicie o console openssl (openssl.exe) e crie seu certificado autoassinado usando esses dois arquivos de configuração (o openssl.cnf
será carregado com o comando req
automaticamente da variável de ambiente OPENSSL_CONF
que definimos anteriormente) :
genrsa -out example.com.key 1024
req -new -key example.com.key -out example.com.csr
Digite todos os dados necessários conforme solicitado. Talvez você queira ignorar a inserção da frase de senha ( A challenge password []
) se esse certificado for usado em um servidor da Web e não precisar digitá-lo toda vez que for reiniciado. Nesse caso, basta deixar esse campo em branco.
Estamos quase terminando. Agora só precisamos gerar nosso certificado e passar o outro arquivo de configuração para incluir nossos aliases de DNS (ou, no seu caso, todos os três controladores de domínio):
x509 -req -days 365 -in example.com.csr -signkey example.com.key -text -extfile example.com.cnf -out example.com.crt
É isso. Você deve ter os novos arquivos example.com.crt
, example.com.key
e example.com.csr
prontos para serem incluídos na pasta openssl e atualizados com a configuração adicional que definimos. Você pode verificar seu certificado que inclui nossos nomes DNS (o bloco de notas fará isso, esses valores estão em texto não criptografado).
Obviamente, você pode alterar esses valores para refletir suas necessidades e isso é apenas um exemplo, usando seus próprios valores de exemplo. Se você não quiser abrir o console do OpenSSL, também poderá executar todos esses comandos a partir do console do sistema, precedendo qualquer comando com uma chamada para o OpenSSL.exe com openssl
. Isso é exatamente igual a ter o console OpenSSL aberto.
Espero que seja o que você queria fazer, não hesite em pedir esclarecimentos nos comentários,
Felicidades!