вторник, 12 декабря 2017 г.

SAN сертификаты в CentOS

Исходная ситуация:

Доменный Windows CA 
Необходим сертификат с SAN для web-сервера на CentOS



1.Настраиваем /etc/pki/tls/openssl.cnf:


[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req

[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = RU
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Msk
localityName = Locality Name (eg, city)
localityName_default = Moscow
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = IT
commonName = Internet Widgits Ltd
commonName_max = 64

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = kb.example.com
DNS.2 = helpdesk.example.org
DNS.3 = systems.example.net
IP.1 = 192.168.1.1
IP.2 = 192.168.69.14

2. Генерируем private key:


openssl genrsa -out san_domain_com.key 2048

3. Создаем файл запроса сертификата с использованием вновь созданного ключа:


openssl req -new -out san_domain_com.csr -key san_domain_com.key -config openssl.cnf

4. Содержимое файла запроса копируем и на его основании выписываем сертификат на Windows CA

5. Копируем выписанный private key и сертификат на CentOS.
Например в /usr/local/etc/

6. Конвертируем скопированные файлы из DER в PEM:

openssl x509 -in certnewb.cer -inform DER -out certnewb.pem -outform PEM

7. Если не прописан корневой сертификат нашего Windows CA - добавляем корневой сертификат в доверенные:
Install the ca-certificates package: 
yum install ca-certificates

Enable the dynamic CA configuration feature: 
update-ca-trust force-enable

Add it as a new file to /etc/pki/ca-trust/source/anchors/: 
cp foo.crt /etc/pki/ca-trust/source/anchors/

Use command: 

update-ca-trust extract



Источник: здесь

Комментариев нет:

Отправить комментарий