【发布时间】:2011-06-17 08:11:15
【问题描述】:
如何使用带有“主题备用名称”字段的makecert 创建证书?
您可以添加 一些 字段,例如使用 -eku 选项的“增强型密钥使用”,我尝试了 -san 选项,但 makecert 不喜欢它。
这是一个自签名证书,因此任何使用 IIS 创建内容以发送到 CA 的方法都不合适。
【问题讨论】:
标签: certificate x509certificate self-signed makecert
【发布时间】:2011-06-17 08:11:15
【问题描述】:
更简单的方法是使用 New-SelfSignedCertificate PowerShell commandlet,它默认包含一个 SAN。您可以在一个命令中创建证书并将其添加到存储中。
New-SelfSignedCertificate -DnsName localhost -CertStoreLocation cert:\LocalMachine\My
请注意,您需要以管理员身份运行 PowerShell。
【讨论】:
-
如何将主题备用名称传递给该命令行开关?
-
它会根据提供的 DnsName 为您创建一个。如果需要支持多个 URL,也可以传入逗号分隔的列表。例如。
New-SelfSignedCertificate -DnsName localhost, mysite.com, test.com -CertStoreLocation cert:\LocalMachine\My -
即使您安装了 Powershell v4,此命令也仅适用于 Windows Server 2012+ 和 Windows 8+(或者可能是 8.1+??)没有 Win 7 和没有 Server 2008 :(
-
@Jester 考虑到这是一个自签名证书,我认为需要将它安装在服务器上有点告诉你应该考虑从 Let's Encrypt 获取证书。
-
如何通过
New-SelfSignedCertificate使用我自己的TestCA颁发证书?
Makecert 似乎不支持 SAN,因此我创建了一个带有 SAN 的证书,用于使用 OpenSSL 的 IIS。查看我的博客文章:
IIS 7 提供了一些易于使用的向导来创建 SSL 证书, 但是不是很强大。我需要做的是创建 SSL 包含 x.509 V3 扩展的证书,即主题 替代名称,a.k.a SAN。 SAN 所做的是允许网站 用于验证来自多个 URL 域的传入请求的证书 姓名。当 web 服务器运行 web 时,这非常重要 服务(例如 WCF 服务)以及其他 Web 服务何时连接到 它们通过 SSL 连接与面向服务的体系结构一样。 除非向 Web 服务添加特殊代码来覆盖 默认 SSL 验证处理程序例程,通用名称 (CN) 证书必须与传入的请求 URL 域匹配。所以如果 请求是使用 FQDN 发出的,证书的 FQDN 必须为 CN 或 SAN、IP 地址或仅主机名将导致 SSL 验证错误,连接将失败。
SAN 来拯救... SAN 支持 DNS 名称和 IP 等 地址。因此,通过使用服务器 FQDN 的 SAN 创建证书 和 IP 地址,它增加了其他 Web 服务可以使用的方式 连接。
有许多工具可以生成证书: makecert.exe、keytool.exe (java)、selfssl.exe 和 openssl.exe。在 此外,从 Windows Vista 和 Server 2008 开始,Microsoft 添加了 CertEnroll API,它也可以以编程方式创建证书 通过 COM 接口。
OpenSSL 最终完成了我需要它做的事情。这个过程是 相当直截了当。
- 构造一个 OpenSSL 配置文件。
[req] distinct_name = req_distinguished_name x509_extensions = v3_req prompt = no [req_distinguished_name] C = US ST = VA L = 某处 O = MyOrg OU = MyOU CN = MyServerName [v3_req] keyUsage = keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = MyServerName DNS.2 = 10.0.1.34 IP.1 = 10.0.1.34 IP.2 = 192.167.20.1
- 使用 OpenSSL 创建 x509 请求
openssl.exe req -x509 -nodes -days 730 -newkey rsa:2048 -keyout C:\cert.pem -out C:\cert.pem -config C:\PathToConfigFileAbove.txt
- 创建包含密钥对的 PFX
openssl.exe pkcs12 -export -out C:\cert.pfx -in C:\cert.pem -name "我的 证书”-passout pass:mypassword
使用服务器中的导入链接将 PFX 导入 IIS 证书区。
将证书绑定到 IIS 网站。
还有 viola,我们知道有一个带有 SAN 的 IIS 的 SSL 证书,所以我们可以 使用多个域名连接而无需证书验证 错误。
来源:Creating certificates with SANs using OpenSSL,Andy Arismeti,2011 年 9 月 1 日星期四
【讨论】:
更新
使用以下makecert 方法生成的证书并非在所有浏览器中都能可靠地工作,因为它实际上并没有生成“主题备用名称”。
如果您检查证书,您会发现它实际上没有Subject Alternative Name 字段,而是在Subject 字段中指定了多个CN。
例如
Subject:
CN = blah.foo.corp
CN = blah
而真正的“SAN”证书应该是这样的:
Subject Alternative Name:
DNS Name=blah.foo.corp
DNS Name=blah
要了解“主题”字段与“通用名称”和“主题备用名称”字段之间的区别和历史,我建议阅读The (soon to be) not-so Common Name。
所以看来makecert不能用于生成真正的“SAN”证书,您需要使用其他工具,例如openssl。
原答案:
至少使用Visual Studio 2012自带的makecert版本,可以指定多个主题,只需指定逗号分隔列表-n "CN=domain1, CN=domain2"
例如(来自technet博客Makecert.exe SAN and Wildcard certificate)
makecert -r -pe -n "CN=*.fabrikam.com, CN=*.contoso.com" -b 01/01/2010 -e 01/01/2100 -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.3,1.3.6.1.5.5.7.3.4 -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -len 2048
【讨论】:
-
明确地说,您不想使用多个 SubjectCN,因为 Firefox 只尊重最后一个,Chrome 只尊重第一个。