Я знаю, что это старый, но я только что понял это сам и подумал, что это может помочь кому-то другому. Мне тоже не удалось заставить CA добавить SAN через веб-страницу или certreq ... -attrib "SAN: DNS =
формат. Атрибут SAN был проигнорирован, хотя сертификат был выпущен.
Однако я обнаружил, что он работает с этим форматом: certreq -attrib "CertificateTemplate: WebServer \ nSAN: DNS =
Например, если у вас есть файл запроса сертификата с именем HP_VC.csr, и вы хотите, чтобы альтернативные имена субъектов были vc1, vc2, vc1.domain.com, vc2.domain.com, 192.168.1.1 и 192.168.1.2 команда будет выглядеть так:
certreq -attrib "CertificateTemplate:WebServer\nSAN:DNS=vc1&DNS=vc2&DNS=vc1.domain.com&DNS=vc2.domain.com&IPAddress=192.168.1.1&IPAddress=192.168.1.2" HP_VC.csr HP_VC.cer
Сертификат в HP_VC.cer будет содержать атрибут SAN.
Я использую это для модулей HP Virtual Connect (VC), встроенных администраторов (OA) и iLOs. Он должен работать в любой общей ситуации, когда требуется сертификат с SAN.
Здесь тоже есть хороший ответ, который решил для меня проблему: http://terenceluk.blogspot.com/2017/09/adding-san-subject-alternative-name.html
Похоже, по умолчанию служба сертификации фактически не принимает ввод SubjectAltName из веб-формы, возможно, по уважительным соображениям безопасности. Как кто-то комментирует на этой странице - это зависит от того, насколько хорошо вы доверяете управление доступом вашей веб-консоли служб сертификации.