Kann mir jemand sagen, wie ich einer vorhandenen CSR eine Reihe von alternativen Betreffnamen hinzufüge?
Ich spreche nicht davon, eine CSR mit SANs zu generieren oder SANs zum Zeitpunkt der Signatur hinzuzufügen - ich weiß, wie man diese beiden Dinge macht.
Hintergrund: Das Problem, das wir haben, ist, dass Sie mit HP Blade-Chassis CSRs generieren können, aber nur ein einziges SAN zulassen. Wir können keine CSR verwenden, die an anderer Stelle generiert wurde, da wir das resultierende Zertifikat nicht verwenden konnten, da es keine Möglichkeit gibt (die ich finden kann), den Schlüssel auf das Blade-Chassis hochzuladen.
Der Standardprozess unserer Zertifizierungsstelle ermöglicht nicht das Hinzufügen von SANs zur Signaturzeit. Sie sind bereit zu experimentieren, aber ich versuche, am Ende eine Lösung zu finden, da dies bedeutet, dass wir uns nicht darauf verlassen müssen, dass sie einen nicht standardmäßigen Prozess für uns haben - meiner Erfahrung nach, wenn sie einen nicht standardmäßigen Prozess verwenden müssen Das Leben wird irgendwann schwierig. ZB wenn ein Mitarbeiter, der den nicht standardmäßigen Prozess kennt, aufgrund von Urlaub usw. nicht anwesend ist.
Die derzeitige Methode besteht darin, über die Web-GUI eine Verbindung zum integrierten Administrator des Bladechassis herzustellen und die CSR mit einem einzigen CN zu generieren.
Die Web-GUI erlaubt nur ein einziges SAN in der CSR.
Dann signieren wir es selbst mit der folgenden Zeilengruppe in der openssl-Konfiguration:
[ v3_ca ]
subjectAltName = "DNS:bladesystem8,DNS:bladesystem8.services.adelaide.edu.au,DNS:bladesystem8-backup,DNS:bladesystem8-backup.services.adelaide.edu.au"
Das resultierende Zertifikat verfügt über die zusätzlichen SANs.