Внедрение PKI на платформе Windows Server 2012: настройка Subject Alternative Name

На этапе настройки Issuing CA я показал как включить поддержку SAN, а теперь предположим что на сервере srv находится некий веб-портал, который должен быть доступен по нескольким именам:

  1. portal.kagarlickij.com
  2. portal.lab.kagarlickij.com
  3. srv
  4. srv.lab.kagarlickij.com

Для начала создадим файл request.inf на серверt srv:

[Version]
Signature=”$Windows NT$”
[NewRequest]
Subject = “CN=portal.kagarlickij.com, OU=IT, O=Demo, L=Kiev, S=Kiev, C=UA”
KeySpec = 1
KeyLength = 2048
HashAlgorithm = SHA256
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
RequestType = PKCS10
KeyUsage = 0xa0
ProviderName = “Microsoft RSA SChannel Cryptographic Provider”
FriendlyName = “Portal Web Site with SAN”
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[RequestAttributes]
CertificateTemplate = WebServer
[Extensions]
2.5.29.17 = “{text}”
_continue_ = “DNS=portal.kagarlickij.com&”
_continue_ = “DNS=portal.lab.kagarlickij.com&”
_continue_ = “DNS=srv&”
_continue_ = “DNS=srv.lab.kagarlickij.com&”

Затем выполним

certreq -new request.inf

.., который предложит сохранить запрос в формате .req для дальнейшей обработки и добавит закрытый ключ в локальное хранилище:

Screen Shot 2014-09-10 at 5.23.31 PM

Полученный запрос обработаем на сервере ica, результат (сертификат в формате .cer) выгрузим на сервер srv , а затем импортируем его через mmc:

Screen Shot 2014-09-10 at 5.25.02 PM

Screen Shot 2014-09-10 at 5.26.00 PM

Подпишем портал (в примере это дефолтный сайт-заглушка) полученным сертификатом и убедимся в полноценной доступности по разным именам:

Screen Shot 2014-09-10 at 5.32.48 PM

Как видите, процесс выдачи и установки сертификата с альтернативными именами достаточно прост.

=> Оглавление цикла статей о PKI