Вопрос или проблема
openSUSE и SLES отказались от своего старого управления CA и теперь рекомендуют использовать xca.
Хотя в старом управлении CA было легко добавлять дополнительные именные альтернативы, такие как псевдонимы хостов или IP-адреса, я не смог найти способ сделать это в xca.
Поэтому у меня возник вопрос: это возможно, и если да, то как?
https://hohnstaedt.de/xca-doc/html/certificate-input.html#wizard указывает на https://www.openssl.org/docs/manmaster/man5/x509v3_config.html
который дает несколько примеров конфигурации для указания значений SAN
subjectAltName = email:copy, email:[email protected], URI:http://my.example.com/
subjectAltName = IP:192.168.7.1
subjectAltName = IP:13::17
subjectAltName = email:[email protected], RID:1.2.3.4
subjectAltName = otherName:1.2.3.4;UTF8:some other identifier
[extensions]
subjectAltName = dirName:dir_sect
[dir_sect]
C = UK
O = My Organization
OU = My Unit
CN = My Name
В текущем инструменте XCA перейдите на вкладку Расширения:
Затем вы можете редактировать “x509v3 Subject Alternative Name”
Ответ или решение
Создание сертификата запроса (CSR) с альтернативными именами субъекта (SAN) в XCA может показаться сложной задачей, особенно для пользователей, привыкших к старым средствам управления CA в openSUSE и SLES. Однако XCA предлагает удобные и мощные инструменты для управления сертификатами, включая возможность добавления SAN. В следующем руководстве мы подробно рассмотрим процесс добавления альтернативных имен субъекта в CSR с использованием XCA.
Шаг 1: Установка XCA
Перед тем как начать, убедитесь, что у вас установлена последняя версия XCA, доступная на официальном сайте. Установка проекта проста и не требует особых навыков.
Шаг 2: Создание нового сертификата
- Запустите XCA и создайте новый проект (если ещё не сделали этого).
- Перейдите в раздел "Certificates" (Сертификаты) и нажмите кнопку "New Certificate" (Новый сертификат).
Шаг 3: Заполнение основных данных
На первой странице мастера создания сертификата введите основные сведения о сертификате:
- Common Name (CN) — это имя, к которому будет привязан сертификат, например, ваше доменное имя.
Шаг 4: Добавление альтернативных имен субъекта (SAN)
Для добавления альтернативных имен субъекта выполните следующие операции:
- Перейдите на вкладку "Extensions" (Расширения) в мастере создания сертификата, как показано на изображении ниже.
- Найдите раздел "x509v3 Subject Alternative Name".
- Нажмите кнопку "Add" (Добавить). Откроется окно для ввода альтернативных имен.
- Вводите нужные значения для SAN. Например, вы можете добавить:
DNS:example.comдля указания доменного имени.IP:192.168.1.1для указания IP-адреса.- Более сложные форматы, такие как
email:[email@domain.com], в зависимости от ваших нужд.
Примеры возможных альтернативных имен
- Для добавления нескольких доменных имен:
DNS:example.com, DNS:www.example.com - Для указания IP-адресов:
IP:192.168.1.1, IP:10.0.0.1
Шаг 5: Завершение процесса
- После того как вы добавили все необходимые SAN, завершите процесс создания сертификата, нажав "OK".
- Проверьте все введенные данные и, если все корректно, создайте CSR.
Заключение
Использование XCA для создания запроса на сертификат с альтернативными именами субъекта значительно облегчает процесс управления сертификатами в современных системах, таких как openSUSE и SLES. Работа с SAN внутри XCA интуитивно понятна и позволяет быстро интегрировать дополнительные идентификаторы в ваши сертификаты.
Обратите внимание на документацию XCA и дополнительные ресурсы, чтобы максимально использовать возможности этого инструмента для управления вашими сертификатами.