На этапе настройки Issuing CA я показал как включить поддержку SAN, а теперь предположим что на сервере srv находится некий веб-портал, который должен быть доступен по нескольким именам:
- portal.kagarlickij.com
- portal.lab.kagarlickij.com
- srv
- srv.lab.kagarlickij.com
Для начала создадим файл request.inf на серверt srv:
[Version]
Signature=”$Windows NT$”
[NewRequest]
Subject = “CN=portal.kagarlickij.com, OU=IT, O=Demo, L=Kiev, S=Kiev, C=UA”
KeySpec = 1
KeyLength = 2048
HashAlgorithm = SHA256
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
RequestType = PKCS10
KeyUsage = 0xa0
ProviderName = “Microsoft RSA SChannel Cryptographic Provider”
FriendlyName = “Portal Web Site with SAN”
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[RequestAttributes]
CertificateTemplate = WebServer
[Extensions]
2.5.29.17 = “{text}”
_continue_ = “DNS=portal.kagarlickij.com&”
_continue_ = “DNS=portal.lab.kagarlickij.com&”
_continue_ = “DNS=srv&”
_continue_ = “DNS=srv.lab.kagarlickij.com&”
Затем выполним
certreq -new request.inf
.., который предложит сохранить запрос в формате .req для дальнейшей обработки и добавит закрытый ключ в локальное хранилище:
Полученный запрос обработаем на сервере ica, результат (сертификат в формате .cer) выгрузим на сервер srv , а затем импортируем его через mmc:
Подпишем портал (в примере это дефолтный сайт-заглушка) полученным сертификатом и убедимся в полноценной доступности по разным именам:
Как видите, процесс выдачи и установки сертификата с альтернативными именами достаточно прост.