Her finner du en fremgangsmåte for å lage en CSR med flere DNS-navn ved hjelp av OpenSSL. Følg forøvrig oppskriften i Hvordan bestille et UNINETT SCS-sertifikat.
Lag en OpenSSL konfigurasjonsfil med følgende innhold:
[ req ] default_bits = 2048 prompt = no encrypt_key = no default_md = sha1 distinguished_name = dn utf8 = yes req_extensions = v3_req [ v3_req ] subjectAltName = @alt_names [ dn ] C = NO O = Offisielt_navn_for_din_organisasjon CN = første_FQDN_for_din_server [alt_names] DNS.0 = første_FQDN_for_din_server DNS.1 = andre_FQDN_for_din_server DNS.2 = tredje_FQDN_for_din_server # # for "O =" må du velge den skrivemåten som er listet på medlemssiden #
Hovednavnet (A record) for serveren bør registreres som CN samt
første DNS (DNS.0 =) siden bare den vil bli lagret i
subject-feltet i det ferdige sertifikatet. Alle DNS.n-er ender opp som
subjectAltName-felter. Mange applikasjon ser bort fra CN dersom
det finnes innslag for subjectAltName, derfor bør første FQDN også være med her.
CSR-konfigurasjonsfil for maskin med FQDN padlock.uninett.no og CNAME scs.uninett.no:
[ req ] default_bits = 2048 prompt = no encrypt_key = no default_md = sha1 distinguished_name = dn utf8 = yes req_extensions = v3_req [ v3_req ] subjectAltName = @alt_names [ dn ] C = NO O = UNINETT AS CN = padlock.uninett.no [alt_names] DNS.0 = padlock.uninett.no DNS.1 = scs.uninett.no
Det utstedte sertifikat vil da ha følgende felt:
C=NO, O=UNINETT AS, CN=padlock.uninett.no X509v3 Subject Alternative Name: DNS:padlock.uninett.no DNS:scs.uninett.no
| scs-ra@uninett.no | 2011-03-16 |