เมื่อใช้ผู้ออกใบรับรองเชิงพาณิชย์ ให้สร้าง csr สำหรับชื่อสามัญ www.mysite.com และส่งไปยังพวกเขาจะส่งผลให้มีการออกใบรับรองที่ใช้ได้ทั้งสองอย่าง www.mysite.com และ mysite.com.
คำขอลงนามเป็นคำขอเพียงชื่อเดียว www.mysite.comจึงไม่มีอะไรพิเศษเกิดขึ้นที่ระดับ csr:
openssl genrsa -des3 -out mysite.com.key 4096
ความต้องการ openssl - ใหม่ - คีย์ mysite.com.key - ออก mysite.com.csr
ชื่อสามัญ เช่นชื่อของคุณ: www.mysite.com
แต่สิ่งที่ได้กลับมาจาก CA เชิงพาณิชย์คือใบรับรองที่ใช้ได้ทั้ง www และ non-www
คำถาม: ฉันจะใช้ csr ที่เป็นเพียงสำหรับ www.mysite.com และการใช้ openssl กับผู้ออกใบรับรองของฉันเอง ออกใบรับรองที่ใช้ได้กับทั้งสองอย่าง www.mysite.com และ mysite.comเช่นเดียวกับที่บริษัทการค้าทำ?
ฉันรู้ว่าคุณสามารถแก้ไข csr เพื่อเพิ่มหลายโดเมนด้วยไฟล์ปรับแต่งได้ แต่ต้องใช้เวอร์ชัน www เท่านั้นใน csr เมื่อใช้บริษัทเชิงพาณิชย์ ไม่จำเป็นต้องใช้ไฟล์กำหนดค่าหลายโดเมน
CA เชิงพาณิชย์กำลังแก้ไข csr ที่ส่งมาให้รวมทั้งสองเวอร์ชันหรือไม่ หรือมีการตั้งค่าสถานะในคำสั่งการลงนามที่ทำให้ www ไม่จำเป็น?
ฉันสามารถแก้ไขคำสั่งนี้เพื่อเพิ่มทั้งเวอร์ชัน www และไม่ใช่ www โดยไม่เปลี่ยน csr ได้หรือไม่
opensl x509 -req -days 365 -in mysite.com.csr -CA Authority.crt -CAkey Authority.key -set_serial 12345 -out mysite.com.crt
หรือมีวิธีง่ายๆ ในการเพิ่มโดเมนที่สองให้กับ csr ปราศจาก ไฟล์ปรับแต่ง?
ความต้องการ openssl - ใหม่ - คีย์ mysite.com.key - ออก mysite.com.csr
ชื่อสามัญ เช่น ชื่อของคุณ: mysite.com, www.mysite.com
CSR ไม่จำเป็นต้องแก้ไข ใบรับรองไม่ใช่ CSR ไม่ใช่สำเนาของ CSR และไม่ได้สร้างขึ้นโดยการลงนาม CSR ใบรับรองเป็นวัตถุใหม่ที่มี บาง ข้อมูล คัดลอกมาจาก CSR และข้อมูลใหม่บางส่วน
โดยเฉพาะอย่างยิ่ง CA 'เชิงพาณิชย์' (LetsEncrypt และ CACert และอื่น ๆ ไม่เรียกเก็บเงิน ดังนั้นจึงไม่ใช่เชิงพาณิชย์จริง ๆ ) ตั้ง นามสกุล SubjectAlternativeName (SAN) (ในใบรับรอง) เพื่อรองรับชื่อ 'DNS' หลายชื่อ (สามารถรองรับชื่อประเภทอื่นได้เช่นกัน แต่คุณไม่ต้องการที่นี่) แอตทริบิวต์ CommonName ในชื่อเรื่อง ต้องไม่ มีหลายชื่อโดเมนเนื่องจากไม่สามารถจับคู่ได้
ในขณะที่ OpenSSL สามารถทำ SAN ได้หลายวิธี โดยใช้ opensl x509 -req -CA/CAkey ทำให้ง่ายขึ้น: ตัวเลือกเดียวที่มีให้ระบุ -extfile ที่มีการตั้งค่าที่ต้องการ นี่อาจต้องเป็นไฟล์จริงที่คุณสร้างขึ้นอย่างชัดเจน หรือบน Unix ในบางเชลล์คุณสามารถใช้ไฟล์ <(คำสั่ง) ไวยากรณ์เพื่อสร้างไฟล์ชั่วคราวที่ซ่อนอยู่ ดู:
Chrome ไม่เชื่อถือใบรับรองที่ลงนามเอง
เดสก์ท็อป Chrome และ Android ปฏิเสธที่จะยอมรับใบรับรองที่ลงนามด้วยตนเองที่เชื่อถือได้
https://stackoverflow.com/questions/61125319/node-js-self-signed-certificate-is-still-showing-as-not-trusted-in-my-browser
และอื่น ๆ อีกมากมายที่เชื่อมโยงในแต่ละ (หลายคนเกี่ยวข้องกับ Chrome เพราะ Chrome เป็นส่วนสำคัญ เหตุผล เพื่อใช้ SAN แต่วิธีการนำ SAN ไปใช้นั้นไม่ได้ขึ้นอยู่กับเหตุผล)
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
