WindowsCA证书服务(四)windows申请SAN证书
简介
似乎实验应该用两个域名来区分IIS自己申请和证书管理器自定义申请。
前面我们做了iis自己申请证书,IIS自己申请证书,IE认可,chrome不认可。
这是因为chrome必须要SAN证书,带有v3扩展才可以,老版本的都被视为危险了。
那么我们本次就尝试使用windows来申请SAN证书。
工具介绍
不建议在任何生产代码中使用 Certutil,它不针对实时站点支持或应用程序兼容性提供任何保证。 它是开发人员和 IT 管理员用来查看设备上的证书内容信息的工具。
使用命令 certutil -dump *** 检查证书申请,检查证书
创建证书申请
使用搜索cert,来找到两个证书管理器,一个是计算机证书,一个是用户证书。
我们申请的是web证书,属于是计算机证书的一种,选择管理计算机证书
创建自定义请求
下一步
不使用策略
CAweb注册支持CMC,那就cmc吧
点击详细信息,展开,再点属性
写个友好名称,便于区分
关键信息使用者,我添加了两个DNS名
确认后, 继续下一步
给个文件名,保存base64格式
比较证书申请
使用certutil -dump *** 查看证书申请。
我特意准备了IIS和自定义的两个申请文件,加密都选1024位,进行比较。
差距还是很大的,但是我们需要关心的只是证书扩展DNS
web签发比较证书
两个证书都去web签一下看看。
签发回来的证书差距不大了
甚至都是x509证书
重要的差距在使用者可选名称,当然,自定义申请时,什么密钥用法等配置项,也是可以找到地方配置的。
IIS配置证书测试
还要看IIS自己申请的么?又做了,那就一样测试吧。
尽管是自定义申请,也是可以在IIS完成申请导入的。
IIS自己申请的不行
自定义申请的可以
