개발에 필요한 인증서에 서명할 수 있도록 인증 기관을 설정했습니다. 내 CA 인증서를 브라우저로 가져왔으므로 내 서명된 인증서가 승인될 것이라는 데는 의심의 여지가 없습니다.
비 CA로서 내부 도메인의 일반 이름이 포함된 인증서 서명을 요청하고 CA로 직접 서명하려는 의도로 약 10개의 다른(내부) 도메인 이름을 추가했습니다. CSR에는 이러한 이름이 있습니다. 보면 볼 수 있습니다.
나는 내 단일 도메인 인증서에 일반적으로 사용하는 CA 서명 인증서로 내 자신의 openssl.cnf 파일을 사용하고 있으며 모든 AltSubjectNames를 제외시킨 것 같으므로 내가 생성한 서명된 인증서는 CN 영역에서만 작동합니다. 다른 도메인 중 하나와 함께 사용하려고 하면 브라우저에서 오류가 발생합니다.
CA openssl.cnf 파일의 확장명이 제거되지 않도록 조정해야 할 것 같습니다. CA의 매뉴얼 페이지에서 x509v3_config의 매뉴얼 페이지를 알려 주었습니다. 그런데 내용이 너무 낯설어서 어떻게 해야 할지 모르겠습니다.
인터넷에서 솔루션을 검색해도 아무것도 나오지 않았습니다. CSR을 얻는 방법에 대한 설명은 많지만 CA가 CSR의 AltSubjectNames를 최종 인증서로 전송하는 방법에 대한 설명은 전혀 없습니다.
어떻게 이루어 집니까?
답변1
마침내 답을 찾았습니다.
CA의 openssl.cnf 파일의 CA_default 섹션에는 다음이 포함되어야 합니다.
copy_entensions = copy
그런 다음 요청의 확장이 인증서에 복사됩니다.
subjectAltName 항목으로만 제한하는 것은 불가능해 보입니다.