上一片講到了多CN的簽署方式利用openssl簽署多域名證書���,在實際使用中遇到了一個問題,在android系統(tǒng)中���,瀏覽器不識別多CN的域名��,會報錯“證書名稱和服務(wù)器名稱不符”�,開始以為是自簽署CA的問題�,換成單個CN之后就正常了,沒辦法�,只能換其他方法了,google N久之后�,找到到了方法:
創(chuàng)新互聯(lián)建站主營金臺網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,
成都app軟件開發(fā)公司,金臺h5成都微信小程序搭建,金臺網(wǎng)站營銷推廣歡迎金臺等地區(qū)企業(yè)咨詢
主要修改在openssl.cnf
# 確保req下存在以下2行(默認(rèn)第一行是有的,第2行被注釋了)
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
# 確保req_distinguished_name下沒有 0.xxx 的標(biāo)簽���,有的話把0.xxx的0. 去掉
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = ShangHai
localityName = Locality Name (eg, city)
localityName_default = ShangHai
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = Domain Control Validated
commonName = Internet Widgits Ltd
commonName_max = 64
# 新增最后一行內(nèi)容 subjectAltName = @alt_names(前2行默認(rèn)存在)
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
# 新增 alt_names,注意括號前后的空格�,DNS.x 的數(shù)量可以自己加
[ alt_names ]
DNS.1 = abc.example.com
DNS.2 = dfe.example.org
DNS.3 = ex.abcexpale.net
其他的步驟:
openssl.cnf中會要求部分文件及目錄存在:
[root@localhost]#mkdir -p CA/{certs,crl,newcerts,private}
[root@localhost]# touch CA/index.txt
[root@localhost]#echo 00 > CA/serial
1.生成ca.key并自簽署
openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf
2.生成server.key(名字不重要)
openssl genrsa -out server.key 2048
3.生成證書簽名請求
openssl req -new -key server.key -out server.csr -config openssl.cnf
Common Name 這個寫主要域名就好了(注意:這個域名也要在openssl.cnf的DNS.x里)
4.查看請求文件
openssl req -text -noout -in server.csr
應(yīng)該可以看到這些內(nèi)容:
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=US, ST=Texas, L=Fort Worth, O=My Company, OU=My Department, CN=server.example
Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit)
Modulus (2048 bit): blahblahblah
Exponent: 65537 (0x10001)
Attributes:
Requested Extensions: X509v3
Basic Constraints: CA:FALSE
X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name: DNS:domain.example.com, DNS:xxx.example.com
Signature Algorithm: sha1WithRSAEncryption
5.使用自簽署的CA���,簽署server.scr
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf
#輸入第一步設(shè)置的密碼�,一直按y就可以了
server.crt server.key就是web服務(wù)器中使用的文件����。
NGINX 雙向認(rèn)證
如果要做NGINX客戶端證書驗證的話,重復(fù)2�、3、4����,并執(zhí)行下面命令生成個人證書
5.生成個人證書
openssl pkcs12 -export -inkey xxx.key -in xxx.crt -out xxx.p12
將個人證書導(dǎo)入pc,同時在nginx ssl基礎(chǔ)上增加設(shè)置:
ssl_verify_client on;
ssl_client_certificate ca.crt;
附件:http://down.51cto.com/data/2364976
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn��,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時售后在線����,公司持有idc許可證,提供“云服務(wù)器�、裸金屬服務(wù)器、高防服務(wù)器��、香港服務(wù)器���、美國服務(wù)器����、虛擬主機����、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定��、簡單易用����、服務(wù)可用性高、性價比高”等特點與優(yōu)勢���,專為企業(yè)上云打造定制��,能夠滿足用戶豐富���、多元化的應(yīng)用場景需求。
網(wǎng)頁名稱:使用openssl為ssl證書增加“使用者備用名稱(DNS)”-創(chuàng)新互聯(lián)
網(wǎng)頁地址:
http://weahome.cn/article/pphpc.html
重慶分公司
重慶分公司
