Мне нужно создать CSR в Windows с альтернативными именами субъекта. Обычно я использую встроенную функцию IIS но она не дает альтернативы для использования альтернативного имени субъекта (SAN).
Я знаю, что могу использовать для этого DigiCert Certificate Utility но ее невозможно установить.
https://www.digicert.com/util/csr-creation-microsoft-servers-using-digicert-utility.htm
Использование MMC -> Запросить новый сертификат не имеет политики регистрации.
Нашли способ сделать это:
MMC -> Сертификаты (локальный компьютер) -> Щелкните правой кнопкой мыши личную папку -> Все задачи -> Расширенные операции -> Создать пользовательский запрос ...
Я выбираю « Proceed without enrollment policy и нажимаю «Далее». Выберите (No Template) Legacy key для совместимости и дополнительных параметров и используйте PKCS #10 . Нажмите далее и нажмите Properties .
Введите дружественное имя и описание и нажмите «Применить». Не забудьте нажать «Применить» после внесения изменений на каждой вкладке.
Другие примеры вкладок для https сертификата. Не забудьте добавить действительное имя хоста + имя домена для общего имени (CN), должно выглядеть как www.yoursite.com или yoursite.com . Альтернативные имена субъекта должны быть добавлены под Alternative name и Тип DNS .
Если вам нужен новый CSR, аналогичный существующему сертификату, посмотрите на детали этого сертификата и Поля Subject и Subject Alternative Name
На вкладке « Extensions выберите « Client Authentication для Extended Key Usage (application policies) .
На вкладке « Private Key выберите « Key size 4096» и « Make private key exportable .
Если у вас есть Key type выберите Exchange противном случае убедитесь, что для параметра Select Hash Algorithm установлено значение sha256 .
Если вы выберете (No Template) CNG key он будет выглядеть так:
Сохраните с помощью OK, а затем сохраните файл как Base64 .
