上一片講到了多CN的簽署方式利用openssl簽署多域名證書(shū)，在實(shí)際使用中遇到了一個(gè)問(wèn)題，在android系統(tǒng)中，瀏覽器不識(shí)別多CN的域名，會(huì)報(bào)錯(cuò)“證書(shū)名稱和服務(wù)器名稱不符”，開(kāi)始以為是自簽署CA的問(wèn)題，換成單個(gè)CN之后就正常了，沒(méi)辦法，只能換其他方法了，google N久之后，找到到了方法：

創(chuàng)新互聯(lián)建站主營(yíng)金臺(tái)網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,成都app軟件開(kāi)發(fā)公司,金臺(tái)h5成都微信小程序搭建,金臺(tái)網(wǎng)站營(yíng)銷推廣歡迎金臺(tái)等地區(qū)企業(yè)咨詢

主要修改在openssl.cnf

# 確保req下存在以下2行（默認(rèn)第一行是有的，第2行被注釋了）
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req

# 確保req_distinguished_name下沒(méi)有 0.xxx 的標(biāo)簽，有的話把0.xxx的0. 去掉
[ req_distinguished_name ]
countryName              = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName            = State or Province Name (full name)
stateOrProvinceName_default = ShangHai
localityName              = Locality Name (eg, city)
localityName_default = ShangHai
organizationalUnitName             = Organizational Unit Name (eg, section)
organizationalUnitName_default = Domain Control Validated
commonName         = Internet Widgits Ltd
commonName_max = 64

# 新增最后一行內(nèi)容 subjectAltName = @alt_names（前2行默認(rèn)存在）
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

# 新增 alt_names,注意括號(hào)前后的空格，DNS.x 的數(shù)量可以自己加
[ alt_names ]
DNS.1 = abc.example.com
DNS.2 = dfe.example.org
DNS.3 = ex.abcexpale.net

其他的步驟：

openssl.cnf中會(huì)要求部分文件及目錄存在：

[root@localhost]#mkdir -p CA/{certs,crl,newcerts,private}

[root@localhost]# touch CA/index.txt

[root@localhost]#echo 00 > CA/serial

1.生成ca.key并自簽署

openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf

2.生成server.key(名字不重要)
openssl genrsa -out server.key 2048

3.生成證書(shū)簽名請(qǐng)求
openssl req -new -key server.key -out server.csr -config openssl.cnf
Common Name 這個(gè)寫(xiě)主要域名就好了(注意：這個(gè)域名也要在openssl.cnf的DNS.x里)

4.查看請(qǐng)求文件
openssl req -text -noout -in server.csr
應(yīng)該可以看到這些內(nèi)容：
    Certificate Request:
    Data:
    Version: 0 (0x0)
    Subject: C=US, ST=Texas, L=Fort Worth, O=My Company, OU=My Department,             CN=server.example
    Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit)
    Modulus (2048 bit): blahblahblah
    Exponent: 65537 (0x10001)
    Attributes:
    Requested Extensions: X509v3
    Basic Constraints: CA:FALSE
    X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment
    X509v3 Subject Alternative Name: DNS:domain.example.com, DNS:xxx.example.com
    Signature Algorithm: sha1WithRSAEncryption

5.使用自簽署的CA，簽署server.scr
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf
#輸入第一步設(shè)置的密碼，一直按y就可以了

server.crt server.key就是web服務(wù)器中使用的文件。

NGINX 雙向認(rèn)證

如果要做NGINX客戶端證書(shū)驗(yàn)證的話，重復(fù)2、3、4，并執(zhí)行下面命令生成個(gè)人證書(shū)
5.生成個(gè)人證書(shū)
openssl pkcs12 -export -inkey xxx.key -in xxx.crt -out xxx.p12

將個(gè)人證書(shū)導(dǎo)入pc，同時(shí)在nginx ssl基礎(chǔ)上增加設(shè)置：
ssl_verify_client on;
ssl_client_certificate ca.crt;

附件：http://down.51cto.com/data/2364976

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站標(biāo)題：使用openssl為ssl證書(shū)增加“使用者備用名稱（DNS）”-創(chuàng)新互聯(lián)
文章來(lái)源：http://aaarwkj.com/article32/pphpc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供用戶體驗(yàn)、電子商務(wù)、網(wǎng)站收錄、網(wǎng)站設(shè)計(jì)、外貿(mào)網(wǎng)站建設(shè)、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)