Создать запрос на подпись сертификата (CSR) с альтернативным именем субъекта (SAN) в Windows без сторонних инструментов
Мне нужно создать CSR в Windows с альтернативными именами субъекта. Обычно я использую встроенную функцию от IIS но это не дает альтернативы для использования альтернативного имени субъекта (SAN).
Я знаю, что я могу использовать DigiCert Certificate Utility для этого, но это не вариант для установки.
https://www.digicert.com/util/csr-creation-microsoft-servers-using-digicert-utility.htm
Использование MMC -> Запросить новый сертификат не имеет политики регистрации.
1 ответ
Нашли способ сделать это:
MMC -> Сертификаты (локальный компьютер) -> Щелкните правой кнопкой мыши личную папку -> Все задачи -> Расширенные операции -> Создать пользовательский запрос...
я выбираю Proceed without enrollment policy и нажал следующий. выберите (No Template) Legacy key для совместимости и больше вариантов и использования PKCS #10, Нажмите на следующий и нажмите на Properties,
Введите дружественное имя и описание и нажмите "Применить". Не забудьте нажать "Применить" после внесения изменений на каждой вкладке.
Другие примеры вкладок для https сертификата. Не забудьте добавить действительное имя хоста + домена для общего имени (CN), должно выглядеть www.yoursite.com или же yoursite.com, Альтернативные имена субъекта должны быть добавлены в Alternative name и введите DNS,
Если вам нужен новый CSR, аналогичный существующему сертификату, посмотрите детали этого сертификата и поля Subject а также Subject Alternative Name
Под вкладкой Extensions выбирать Client AuthenticationServer Authentication за Extended Key Usage (application policies),
Под вкладкой Private Key выбирать Key size 4096 и Make private key exportable,
Если у вас есть Key type лоскут выбрать Exchange в противном случае проверьте, что Select Hash Algorithm установлен в sha256,
Если вы выбираете (No Template) CNG key это будет выглядеть так:
Сохранить с помощью OK, а затем сохранить файл как Base64,