openssl Certificate Signing Request (CSR) for SAN Certificates

Andres Bohren

Hallo zusammen,

Über Zertifikate habe ich ja schon ein paar Artikel geschrieben, beispielsweise die beiden folgenden, welche mir als Grundlage für diesen Artikel gedient haben:

Heute möchte ich zeigen, wie man mit openssl ein Certificate Signing Request (CSR) für ein Subject Alternative Name (SAN) Zertifikat austellt.

Die Benötigten Informationen und Tools gibts hier:

Zuerst erstellen wir den Private Key - Dokumentation dazu gibts hier http://www.openssl.org/docs/apps/genrsa.html
openssl genrsa -out priv_sample_icewolf.pem 2048

Für SAN Zertifikate muss ein config File erstellt werden (in diesem falle hab ich das config file "sample_icewolf.conf" benannt)

[ req ]
default_bits        = 2048
default_keyfile     = priv_sample_icewolf.pem
distinguished_name  = req_distinguished_name
req_extensions     = req_ext
 
[ req_distinguished_name ]
commonName            = Common Name (CN)
organizationName      = Organization (O)
OU          = Organizational Unit (OU)
localityName          = City / Locality (L)
stateOrProvinceName  = State / Province (S)
countryName           = Country/Region (C)
 
[ req_ext ]
subjectAltName        = @alt_names
basicConstraints   = CA:FALSE
keyUsage        = digitalSignature, keyEncipherment
extendedKeyUsage   = serverAuth

[alt_names]
DNS.1   = sample.icewolf.ch
DNS.2   = other.icewolf.ch
DNS.3   = www.domain.net

Nun kann der CSR mithilfe des Private Kays und des config Files erzeugt werden.

openssl req -new -nodes -out sample_icewolf.csr -config sample_icewolf.conf

http://openssl.org/docs/apps/req.html#
http://openssl.org/docs/apps/x509v3_config.html#

Nun stelle ich bei der Windows CA das Zertifikat aus

Und da haben wir das Zertifikat

Grüsse
Andres Bohren