開発に必要な証明書に署名できるように認証局を設定しました。私のCA証明書をブラウザにインポートしたので、私の署名付き証明書が承認されることに疑問はありません。
非CAとして、内部ドメインの一般名を含む証明書署名を要求し、CAに直接署名しようとして約10の異なる(内部)ドメイン名を追加しました。 CSRにはこれらの名前があります。見ると見ることができます。
私は自分の単一ドメイン証明書によく使用されるCA署名証明書として自分のopenssl.cnfファイルを使用しており、すべてのAltSubjectNamesを除外したようです。他のドメインのいずれかで使用しようとすると、ブラウザでエラーが発生します。
CA openssl.cnfファイルの拡張子が削除されないように調整する必要があるようです。 CAのマニュアルページでx509v3_configのマニュアルページを教えてくれました。ところで、内容が見慣れないので、どうすればいいのか分かりません。
インターネットでソリューションを検索しても何も出てこなかった。 CSR を取得する方法については多くの説明がありますが、CA が CSR の AltSubjectNames を最終証明書に転送する方法の説明はまったくありません。
どうやってやるの?
答え1
ついに答えを見つけました。
CAのopenssl.cnfファイルのCA_defaultセクションには、次のものを含める必要があります。
copy_entensions = copy
その後、要求の拡張が証明書にコピーされます。
subjectAltName 項目だけに制限することはできません。