扫一扫,访问微社区

QQ登录

只需一步,快速开始

查看: 7444|回复: 0

[Linux] Microsoft CA生成具有主题备用名称(SAN)的证书

[复制链接]
发表于 2020-4-24 09:59:39 | 显示全部楼层 |阅读模式

访客您好,登录后可看更多精彩内容!发帖、回复积分还可换实物奖品哦,还在犹豫什么,赶紧注册登录吧!

您需要 登录 才可以下载或查看,没有账号?立即注册

×
证书用于保护客户端和服务器之间的通信,以确保传输的数据不受影响。当网站托管机密信息时,实现SSL是一种安全性最佳实践。

证书由证书提供者或证书颁发机构(CA)颁发。要申请证书,请将证书签名请求(CSR)发送到CA。此CSR包含需要保护的主机名,电子邮件地址和公司信息。CA在验证信息之后,批准并生成证书。然后可以使用此证书来保护通信。

商业CA颁发的证书将被大多数Web浏览器自动信任,但是要付出一定的代价。为了降低成本而不损害安全性,许多组织实施了内部CA层次结构。内部CA可用于在域或林中内部部署证书。这些证书将由其所有加入域的系统自动信任。对于域外的系统,需要手动过程来信任这些证书。

什么是SAN证书?

主题备用名称(SAN)  允许您指定要由单个SSL证书保护的主机名列表。SAN证书通常在需要使用单个IP地址在单个服务器上托管多个启用SSL的站点的情况下很有用。

使用内部CA的SAN证书

随着Exchange Server 2007/2010的到来,SAN证书变得越来越流行,有时需要进行配置。但是,如果您希望从内部CA颁发SAN证书,则可能无法这样做。这是因为默认情况下,基于Windows的证书颁发机构不允许颁发SAN证书。

要允许内部CA颁发SAN证书,您必须修改证书颁发机构的默认颁发策略以接受CSR中的“使用者备用名称”属性。

导航到证书颁发机构服务器的命令提示符,然后发出以下命令:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

发出上述命令后,将需要重新启动证书服务,以使更改生效。
重新启动证书服务后,您将能够从内部CA生成SAN证书。
请记住,在执行SAN证书的Web注册时,必须在“ 属性”窗口中以以下格式指定主题备用名称(SAN)

san:dns=webmail.domainc.com&dns=mail.domainc.com&dns=autodiscover.domainc.com

Microsoft不建议使用企业根CA发行SAN。因此,理想情况下,我们应该使用由根CA授权的中间CA来处理SAN证书请求。
毕嘉峰电脑技术论坛-Bijiafeng.com:论技术分享我们更专业更精确!!
关闭

站长推荐 上一条 /1 下一条

9.9全场包邮
客服热线
暂缓开通 周一至周五:09:00 - 18:00
公司地址:北京市海淀区中关科技园
邮箱:root@bijiafeng.com

毕嘉峰电脑技术网始于2008年,由毕嘉峰创办并延续至今,在2012年进行线下转型于2013年正式上线运行。我们坚持初心不忘使命,努力为客户打造准确精准的解决方案,目前处于公益运行,如果你喜欢本站,希望给予赞助让我们做得更好更久,谢谢支持!。

Powered by Discuz!  X3.5 © 2008-2021 毕嘉峰电脑技术网   技术支持: 凡尘

申请友链|手机版|小黑屋|毕嘉峰电脑技术网 ( 京ICP备13033230号-2 )|赞助我们

GMT+8, 2024-11-23 18:14 , Processed in 0.045986 second(s), 23 queries .

快速回复 返回顶部 返回列表