Re: Erzeugung eines Zertifikats mit openssl: SubjectAltName erscheint nicht
Waldemar Brodkorb, Mittwoch, 22. Februar 2012:
> Das Dokument ist zwar schon was älter, aber dort wurde eine Methode
> beschrieben:
> http://digilib.happy-security.de/files/ipsec_mit_openbsd_als_sichere_alter
> native.pdf
>
> Für zwei oder mehr SubjectAltNames muss die x509v3.cnf im Anhang
> entsprechend editiert werden.
>
> Aber die openssl Kommandos mit -extensions und so, sollten weiterhin
> gültig sein.
Danke, das war das Stichwort: Extensions. Ich habe das jetzt nicht
vollständig ausgelotet. Aber kurioserweise scheint es nicht zu reichen,
wenn die subjectAltName im signing request drinstehen. Vielmehr muß man
der CA via Config-File nochmals mitteilen, daß sie die subjectAltName in
das Zertifikat reinschreiben soll.
Die Zusammenhänge sind mir also noch nicht so klar. Allerdings hat es
damit funktioniert, und dementsprechend läuft mein Apache jetzt auch mit
SSL für mehrere vhosts auf einer IP.
Sehr fein, vielen Dank fürs Stichwortgeben.
--
Andre Tann
Reply to: