@strelkovandreyv

Как правильно создавать сертификат для Apache в Microsoft Certification Authority?

Добрый день, подскажите пожалуйста.
В интранете имеется Microsoft Certification Authority, с помощью которой выпускаю сертификат
Недавно потребовалось выпустить сертификат для веб сайта крутящего в этой же сети на Apache
Делал по данному мануалу

Всё было успешно, только данный сайт успешно и без ругани на недействительный сертификат работает только в Internet Explorer
В Google Chrome же при открытии ругается на err_cert_common_name_invalid (в качестве common_name указывал доменное имя сайта из dns, например mysupersite.mm)
В чём может быть проблема? Пытаясь погуглить, выходил на том что проблема в неком SAN, но не факт
  • Вопрос задан
  • 176 просмотров
Решения вопроса 1
@mezhuev
Системный администратор
Пытаясь погуглить, выходил на том что проблема в неком SAN, но не факт

Проблема не в SAN (subjectAltName), а в его отсутствии. Из RFC 2818:
If a subjectAltName extension of type dNSName is present, that MUST
be used as the identity. Otherwise, the (most specific) Common Name
field in the Subject field of the certificate MUST be used. Although
the use of the Common Name is existing practice, it is deprecated and
Certification Authorities are encouraged to use the dNSName instead.

Для решения проблемы вам необходимо подготовить новый запрос, добавив в него subjectAltName. Сделать это можно с помощью файла openssl.cnf, пример ниже.

openssl.cnf
[req]
distinguished_name = req_distinguished_name
prompt = no
req_extensions = v3_req

[req_distinguished_name]
C = RU
ST = State or Province Name
L = Locality Name
O = Organization Name
OU = Organizational Unit Name
emailAddress = hostmaster@example.com
CN = Common Name

[ v3_req ]
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com

openssl genrsa -out cert.key 4096
openssl req -new -out cert.csr -key cert.key -config openssl.cnf

Далее всё как обычно.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы