创建多域名证书(SAN/UCC证书)CSR(证书请求文件)
多域名证书,是允许一张ssl证书绑定多个域名的服务器证书,有2种叫法,一种:Unified Communications Certificater(这个是微软的说法),另一种为SAN certificater(SubjectAltName Certificater),已经迅速成为一种深受大家欢迎的证书,通过这种证书,可以方便部署Exchange, OCS ,Lync等经常有多个服务名的应用系统,此外也便于企业的网络管理人员对证书管理。
如果是申请Entrust 的多域名证书,只需要按普通的CSR生成方法,取最重要的域名做CSR文件即可,下面我们仅从技术角度介绍一下,如何生成包含多个域名的CSR文件:
创建多域名的CSR文件,首先我们先要准备好OPENSSL工具,可以去http://www.openssl.org/下载,然后我们做配置一个conf文件,如下:
[ req ]
default_bits = 2048
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
commonName_default = www.etsec.com.cn
commonName_max = 64
organizationName_default = Beijing eTsec Technology Co.,Ltd.
organizationalUnitName_default = IT Support Dept
localityName_default = Beijing
stateOrProvinceName_default = Beijing
countryName_default = CN
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = cert.etsec.com.cn
DNS.2 = ExchangeerServer
DNS.3 = 192.168.0.1
DNS.4 = www.etsec.com.cn
其中:
commonName_default: 证书的主域名
organizationName_default: 企业/单位名称
organizationalUnitName_default:企业部门
localityName_default: 城市
stateOrProvinceName_default: 省份
countryName_default: 国家代码,一般都是CN(大写)
[alt_names]: 后面为备用名称列表
配置好该文件后,保存为san.conf,然后运行下面命令:
openssl req -new -nodes -out myreq.csr -config san.conf -batch
最后CSR文件在myreq.csr中,私钥在private.pem中,这样4个域名的CSR 就产生了。
SSL证书的申请流程如下所示:
一 双方签定购买合同
首先双方签定数字证书购买合同,可以以传真,扫描,快递等方式完成。
二 客户方付款
贵司以电汇,支票等方式向我司支付数字证书款项,付款账户请参照合同。
三 客户方提交数字证书申请资料
申请SSL证书的客户请提交以下资料:
1 最新年检的企业法人营业执照副本复印件
2 填写《SSL证书申请表》
3 提交CSR,CSR的生成方法,请参照具体服务器生成方法说明文档
提交方法:营业执照、申请表、 CSR请提交至业务邮箱
四 等待处理,电话验证
亿创恒安收到标准的资料和正确的CSR文件后,会协助国外Entrust完成鉴证服务工作,期间,证书签发前,Entrust公司会给贵公司的单位联系人打电话验证核实申请证书情况,贵司申请者需要配合Entrust完成电话验证工作。
五 签发证书
最终数字证书以邮件的形式发到申请表中技术联系人的邮箱,由贵司技术安装配置即可。
注意事项:
(1)《SSL证书申请表》中填写的所有联系人的邮箱不能为免费邮箱。
(2)请您在需要配置证书的服务器上生成CSR,若否,也需选择相同服务器平台进行相关操作。
(3)在生成CSR时,所填写的公司英文名称一定需与公司营业执照上的中文名称相匹配。匹配原则:中英文互译、汉语拼音、谐音。电话最好的114注册的电话,如果没有注册也必需是固定电话。
(4)在生成CSR后,请勿删除服务器上已产生的证书请求或格式化电脑。由于此时证书私钥已经产生,如私钥丢失,则证书将无法使用。