Мы хотим использовать сертификат SAN SSL для следующих доменов:
Должен ли я при создании CSR для этого сертификата вводить все эти имена хостов (рядом с Common Name) в раздел «Альтернативные имена субъектов»? Это обязательно? Или я могу оставить их пустыми и заполнить только Общее имя?
Как эти записи SAN в конечном итоге попадают в сертификат SSL? Это через CSR (если они были предоставлены) или может провайдер сертификатов добавить их в процессе генерации, и, таким образом, SAN не требуются в CSR?
Да, вам нужно включить каждое из альтернативных имен субъекта и в раздел "Альтернативные имена субъектов" КСО. Некоторые центры сертификации позволят вам обновлять сертификат для добавления новых SAN, но для этого всегда требуется обновленный CSR.
DigiCert - это фантастический CA для использования, и вот их инструкции по добавлению SAN к сертификату.
Чтобы добавить SAN к сертификату, вы должны сгенерировать новый CSR на вашем сервер, а затем отправить CSR в вашем аккаунте. Если вам нужно инструкции по созданию CSR, смотрите наш раздел "Создание CSR" (Сертификат). Страница Запрос на подписание.
Полные инструкции здесь: https://www.digicert.com/multi-domain-add-subject-alternative-names.htm.
Как вы создаете свой исходный CSR будет отличаться в зависимости от того, на какой платформе вы создаете и используете сертификат.
subjectAltName требуется, из RFC 2818
Если присутствует расширение subjectAltName типа dNSName, то оно ДОЛЖНО быть использованным в качестве личности. В противном случае, в поле Subject сертификата ДОЛЖНО быть использовано (самое специфическое) общее имя.
Несмотря на то, что использование общего имени является существующей практикой, оно устарело и Вместо этого сертифицирующим органам рекомендуется использовать dNSN имя.
Ваш сертифицирующий орган может использовать имена, указанные в запросе, или принимать другие вводимые данные, например, через форму. Давайте зашифровать пример, который полностью автоматизирует запрос и выпуск subjectAltNames или подстановочных знаков в соответствии с опциями, которые вы передаете в ACME скрипт.
О подстановочных знаках вы получаете один '*', который вы можете использовать в самом левом ярлыке, в соответствии с правилами в RFC 6125 6.4.3. Это очень мощный инструмент, вы можете использовать один cert для всего. Однако, в случае компрометации, у злоумышленника есть действительный cert для любого имени, совпадающего с этим шаблоном.
.