Soru makecert kullanarak kendinden imzalı sertifikaya 'Konu Alternatif Adı' alanı ekleme veya oluşturma


Kullanarak nasıl sertifika oluşturabilirim makecert 'Konu Alternatif Adı' alanıyla?

enter image description here

Ekleyebilirsin bazı alanları, örneğin -eku seçeneği ile 'Gelişmiş Anahtar Kullanımı' ve -san seçeneğini denedim ama makecert bunu sevmiyor.

Bu, kendinden imzalı bir sertifikadır, dolayısıyla bir CA'ya gönderilecek bir şey oluşturmak için IIS'yi kullanan herhangi bir yöntem uygun olmaz.


20
2018-06-17 08:11


Menşei




Cevaplar:


Makecert, SAN'ları destekliyor görünmüyor, bu yüzden OpenSSL kullanarak IIS ile kullanmak için SAN'larla bir sertifika oluşturdum. Bu konuyla ilgili mesajımı kontrol et.

http://andyarismendi.blogspot.com/2011/09/creating-certificates-with-sans-using.html


14
2017-10-15 04:21





Daha da kolay bir yol, varsayılan olarak bir SAN içeren Yeni SelfSignedCertificate PowerShell komutunu kullanmaktır. Tek bir komutta sertifikayı oluşturabilir ve mağazaya ekleyebilirsiniz.

New-SelfSignedCertificate -DnsName localhost -CertStoreLocation cert:\LocalMachine\My

PowerShell'i yönetici olarak çalıştırmanız gerektiğini unutmayın.


22
2018-04-28 02:06



Konu komutunu o komut dosyasına nasıl iletirsiniz? - wal
Sağlanan DnsName'e göre sizin için bir tane oluşturur. Birden çok URL'yi desteklemeniz gerekiyorsa, virgülle ayrılmış bir listeyi de iletebilirsiniz. Örneğin. New-SelfSignedCertificate -DnsName localhost, mysite.com, test.com -CertStoreLocation cert:\LocalMachine\My - DanO
Powershell v4'ü yükleseniz bile, bu komut SADECE Windows Server 2012+ ve Windows 8+ (veya belki 8.1+?) Sürümlerinde kullanılabilir. Win 7 ve No Server 2008 :( - Jester
@Jester Bunun kendinden imzalı bir sertifika olduğunu düşünürsek, bir sunucuya yüklemenin gerekeceğini belirtmek isterim ki, bir sertifikayı Kapanış Şifreni'nden almayı düşünmeniz gerektiğini söyler. - Dan Atkinson
Kendi TestCA'mı kullanarak sertifika nasıl verilir? New-SelfSignedCertificate? - Will Huang


Güncelleştirme

Aşağıdaki kullanılarak oluşturulan sertifika makecert yöntem, tüm tarayıcılarda güvenilir şekilde çalışmaz, çünkü aslında "Konu Alternatif Adı" oluşturmaz.

Sertifikayı incelerseniz, aslında bir Subject Alternative Name alan, ancak birden çokları belirtir CN içinde Subject alan.

Örneğin.

Subject:
CN = blah.foo.corp
CN = blah

Oysa gerçek bir "SAN" sertifikası şöyle bir şey olurdu:

Subject Alternative Name:
DNS Name=blah.foo.corp
DNS Name=blah

"Ortak İsim" ve "Konu Alternatif Adı" alanı ile "Konu" alanı arasındaki farklılıkları ve tarihi anlamak için, okumanızı tavsiye ederim. Sonsuzluk Soyadı (yakında).

Yani öyle görünüyor ki makecert  yapamam Gerçek bir "SAN" sertifikası oluşturmak için kullanılmalı ve diğer araçlar gibi openssl.


Orijinal cevap:

En azından sürümü ile makecert Visual Studio 2012 ile birlikte gelen, sadece virgülle ayrılmış bir liste belirterek, birden çok konu belirtebilirsiniz -n "CN=domain1, CN=domain2"

Örneğin. (technet blogundan Makecert.exe SAN ve Wildcard sertifikası)

makecert -r -pe -n "CN=*.fabrikam.com, CN=*.contoso.com" -b 01/01/2010 -e 01/01/2100 -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.3,1.3.6.1.5.5.7.3.4 -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 -len 2048

8
2018-06-20 22:39



Açık olmak gerekirse, Firefox sadece son olarak saygı duyduğundan ve Chrome'un yalnızca ilkine saygı duymasından dolayı birden fazla SubjectCN kullanmak istemezsiniz. - EricLaw