我试图使用Windows CertSrv Web注册客户端中的附加属性字段来颁发新的证书。
我添加了CSR,select了模板并将其input到属性字段中:
SAN:dns=HOSTNAME&dns=HOSTNAME.DOMAIN.COM&ipaddress=IPADRESS 请求是成功的,但是当我检查签名的证书时,没有“替代名称”属性被添加到它。 我错过了什么吗? 也许与模板有关的问题? (使用一些默认的Win 2003级别的networking服务器模板副本和一些自定义设置)。
/编辑另外我试过使用
certreq -submit -attrib "CertificateTemplate:MYTEMPLATE" <Cert Request.req> -attrib "SAN:dns=HOSTNAME&dns=HOSTNAME2&ipaddress=IPADDRESS"
导致同样的问题:证书得到生成,但没有任何SAN属性。
/ edit2我也设置了CA使用发行SAN证书
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
并重新启动CA服务。 仍然:没有SAN。
请注意:使用req。 文件和OpenSSL来生成CSR,我能够使用包含一些SAN的CA来生成证书。 但是,这个选项在我目前的情况下是无效的,因为我从应用程序获取CSR,而我无法为应用程序手动生成CSR。
/ edit3 我尝试使用默认的networking服务器证书,没有任何改变,突然它的工作。 所以现在的问题是:启用SAN的模板要求是什么?
我知道这已经很老了,但是我自己弄明白了,认为这可能会帮助其他人。 我也一直无法让CA通过网页或certreq ... -attrib "SAN:DNS=<FQDN>[&DNS=<FQND2>...]..."格式添加SAN。 SAN属性被忽略,即使颁发了证书。
但是,我发现它的格式如下: certreq -attrib "CertificateTemplate:WebServer\nSAN:DNS=<Name1>[&DNS=<name2>...][&IPAddress=<IP1>...]" <csr filename> <cer filename>
例如,如果您有一个名为HP_VC.csr的证书请求文件,并且您希望主题替代名称为vc1,vc2,vc1.domain.com,vc2.domain.com,192.168.1.1和192.168.1.2,则该命令将是:
certreq -attrib "CertificateTemplate:WebServer\nSAN:DNS=vc1&DNS=vc2&DNS=vc1.domain.com&DNS=vc2.domain.com&IPAddress=192.168.1.1&IPAddress=192.168.1.2" HP_VC.csr HP_VC.cer
HP_VC.cer中的证书将包含SAN属性。
我正在将此用于HP Virtual Connect(VC)模块,板载pipe理员(OA)和iLO。 它应该适用于任何需要SAN证书的一般情况。