带SAN的通配符证书

Question

我正在尝试创建一个通配符SSL证书，其中包含一个主题可选名称(SAN)，以便在IIS 7.5中使用，而且我遇到了一些问题。因为我需要包含一个SAN，所以我在Windows上使用证书管理下的自定义证书请求工具。

到目前为止，当我使用IIS 7.5创建证书请求向导时，我已经成功地获得了一个工作通配符证书，当我使用自定义证书请求向导(在证书抢注中)时，我成功地获得了一个工作SAN证书，但是我无法让这两个证书在同一个证书中工作。

我使用自定义证书请求向导生成的证书具有以下属性：

主题名称：

• CN=*.domain.local

替代名称：

• DNS=domain.local

扩展密钥使用：

• 服务器身份验证

(私人)键类型：

• 交换

(私人)关键选择：

• 密钥大小: 2048
• 使私钥可出口

使用IIS7.5中的上述证书，对https://domain.local的SAN的请求是安全的，但是https://*.domain.local请求是不安全的，浏览器声明证书只对domain.local有效(而不是*.domain.local)。

最终，我的目标是拥有一个在*.domain.local和domain.local上工作的证书。

使用Windows证书管理中的自定义证书请求向导，如何为包含通配符和SAN属性的证书创建证书请求？

Answer 1

当主题替代名称到位时，将不再使用通用名称(编辑:来自主题)。解决方案:将通配符名称添加到主题可选名称列表中。