Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden

CSR (Certificate Signing Request) für Multidomainzertifikat erstellen

Neuere Apache-Versionen unter­stüt­zen soge­nannte Multidomainzertifikate. Damit ist es mög­lich, meh­rere vhost mit nur einem SSL-Zertifikat, wel­ches der Browser als gül­tig akzep­tiert, abzu­si­chern. Um jedoch ein Zertifikat von einer CA zu erhal­ten, müs­sen wir ein CSR (Certificate Signing Request) erzeu­gen. Mit openssl ist diese Aufgabe schnell erle­digt. Wie kann man hier aber meh­rere Domains ange­ben? Ein mög­li­cher Weg kann die Erstellung eines CSRs mit meh­re­ren CommonNames sein. Dazu edi­tie­ren wir /etc/ssl/openssl.cnf. In der Sektion [ req_distinguished_name ] ändern wir den Eintrag:

commonName = Common Name (eg, YOUR name)
commonName_max = 64

in:

0.commonName = Common Name 1 (eg, YOUR name)
0.commonName_max = 64

1.commonName = Common Name 2 (eg, YOUR name)
1.commonName_max = 64
.
.
.

um. Mit einem 0.commonName_default=www.domain.tld kann man auch gleich einen pass­sen­den Standardwert ein­stel­len. Zum Schluß gene­rie­ren wir uns den Schlüssel mit 2048 bits und den CSR:

openssl req -new -nodes -keyout dateiname.key -out dateiname.csr -newkey rsa:2048

Weitere mög­li­che Wege gehen über "subjectAltName" oder über "commonName" und "subjectAltName".

16. Januar 2008

Pin It on Pinterest