बहु-डोमेन के लिए सीएसआर कैसे उत्पन्न करें के लिए सीएसआर उत्पन्न करना।बहु-डोमेन
मैंने पाया कि एक डोमेन के लिए सीएसआर पैदा करने के रूप में नीचे है:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
लेकिन यह कैसे मैं सीएसआर बहु-डोमेन
एक X.509 प्रमाणपत्र एकाधिक डोमेन का समर्थन करने के लिए पैदा करते हैं, यह का उपयोग करना चाहिए कई विषय वैकल्पिक नाम DNS प्रविष्टियों, RFC 2818 (HTTP over TLS) (या आरएफसी 6125) के अनुसार:
प्रकार dns नाम की एक subjectAltName विस्तार मौजूद न हो, कि MUST पहचान के रूप में इस्तेमाल किया जाना चाहिए। अन्यथा, प्रमाण पत्र के विषय फ़ील्ड में (सबसे विशिष्ट) सामान्य नाम फ़ील्ड का उपयोग किया जाना चाहिए। हालांकि आम नाम का उपयोग मौजूदा अभ्यास है, इसे बहिष्कृत किया गया है और प्रमाणन प्राधिकरणों को इसके बजाय dNSName का उपयोग करने के लिए प्रोत्साहित किया जाता है।
मिलान [RFC2459] द्वारा निर्दिष्ट मिलान नियमों का उपयोग करके किया जाता है। यदि किसी निश्चित प्रकार के एक से अधिक पहचान प्रमाण पत्र में मौजूद है (उदाहरण के लिए, एक से अधिक dns नाम नाम, किसी भी एक सेट के में एक मैच स्वीकार्य माना जाता है।)
(this document में वर्णित है सिवाय मैं genrsa आदेश के लिए भी -des3 का प्रयोग करेंगे, निजी कुंजी की रक्षा के लिए):
openssl.cnf फ़ाइल बनाएँ (मूल लिनक्स पर /etc) के तहत कहीं शायद है।req_extensions = v3_req जोड़ने के लिए इसे संपादित करें।subjectAltName=DNS:www.example.com,DNS:www.other-example.com (एक DNS: प्रविष्टि प्रति होस्ट नाम) जोड़ने के लिए इसे संपादित करें।OPENSSL_CONF=/path/to/your/openssl.cnf openssl req ...यह कहा जा रहा है कि, मैं सीएसआर में कोई भी एक्सटेंशन सेट करने के बारे में ज्यादा चिंता नहीं करता। किसी भी अच्छे सीए को सीएसआर में जो भी सेट किया गया है उसे अनदेखा करना चाहिए और वास्तविक प्रमाण पत्र जारी करते समय केवल वही सेट करना चाहिए जो उन्होंने वास्तव में सत्यापित किया है। वे आपके विषय डीएन (जैसे देश, संगठन, ...) के साथ-साथ किसी भी एक्सटेंशन (SAN या कुंजी उपयोग) में किसी भी आरडीएन को खुशी से बदल देंगे। सबसे पहले, अगर वे आवेदक द्वारा सीएसआर में अनुरोध किए गए किसी भी विस्तार को देते हैं, तो यह एक सुरक्षा जोखिम होगा, क्योंकि कुछ आवेदकों को वास्तव में कुछ भी मिल सकता है। दूसरा, इस तरह वे आपको कुछ और बिट्स (जैसे कोड हस्ताक्षर एक्सटेंशन) सेट करने के लिए चार्ज करके अतिरिक्त पैसे कमाते हैं: वे सुनिश्चित करेंगे कि आप केवल अपने प्रमाण पत्र में जो भुगतान कर चुके हैं उसे प्राप्त करें। हालांकि, मैं समझता हूं कि आप अपने सीएसआर में अनुरोध किए गए सभी नामों को बस सुनिश्चित करना चाहते हैं।
शायद सर्वरफॉल्ट के लिए अधिक: स्थानांतरित करने के लिए वोट दिया गया। – Bruno