Como posso assinar como CA um certificado de domínio múltiplo

3

Eu me estabeleci como uma autoridade de certificação para poder assinar os certificados de que preciso para o desenvolvimento. Eu importei meu certificado de CA em meus navegadores para que os certificados assinados sejam aceitos sem questionamentos

Como NÃO a CA, criei uma Solicitação de Assinatura de Certificado contendo um Nome Comum para um nome de domínio interno e adicionei cerca de 10 outros nomes de domínio (internos) com o objetivo de ter eu como assinatura da CA. O CSR tem esses nomes - eu posso vê-los quando olho para ele.

Eu assinei o certificado como CA, usando o meu próprio arquivo openssl.cnf que uso normalmente para os meus certificados de domínio único e parece ter eliminado todos os AltSubjectNames, então o certificado assinado que eu produzi é bom apenas para o domínio no campo CN. Meus navegadores reclamam quando eu tento usá-lo para um dos outros domínios.

Acho que preciso ajustar a extensão no arquivo openssl.cnf das minhas CAs para não removê-las. A página man do CA me aponta na página man do x509v3_config. Mas a leitura disso é obscura e não consigo descobrir o que fazer.

A busca de soluções na internet não resultou em nada - há muitas descrições de como obter o CSR, mas absolutamente nada sobre como uma autoridade de certificação pode transportar o AltSubjectNames no CSR para o certificado final.

Como isso é feito?

    
por akc42 27.01.2016 / 18:28

1 resposta

3

Eu finalmente encontrei uma resposta.

A seção CA_default do arquivo openssl.cnf da CA deve conter

copy_entensions = copy

Em seguida, as extensões no pedido são copiadas para o certificado.

Não parece possível limitar isso apenas a entradas subjectAltName.

    
por 27.01.2016 / 18:58