如何以 CA 身份簽署多域證書

我已將自己設置為證書頒發機構，因此我可以簽署開發所需的證書。我已在瀏覽器中導入我的 CA 證書，因此我簽署的證書毫無疑問地被接受

由於不是 CA，我為自己創建了一個證書籤名請求，其中包含一個內部域名的通用名稱，並添加了大約 10 個其他（內部）域名，目的是讓自己作為 CA 對其進行簽名。CSR 有這些名字——我一看就知道。

我使用自己的 openssl.cnf 文件將證書籤署為 CA，我通常將其用於我的單域證書，並且它似乎已經刪除了所有 AltSubjectNames，因此我生成的簽名證書僅適用於CN 欄位。當我嘗試將它用於其他域之一時，我的瀏覽器會抱怨。

我想我需要調整我的 CAs openssl.cnf 文件中的副檔名，以免將它們刪除。CA 的手冊頁指向 x509v3_config 的手冊頁。但是這個閱讀是模糊的，我不知道該怎麼做。

在網際網路上搜尋解決方案一無所獲——關於如何獲得 CSR 的描述很多，但絕對沒有關於 CA 如何將 CSR 中的 AltSubjectNames 轉移到最終證書中。

它是如何完成的？

我終於找到了答案。

CA 的 openssl.cnf 文件的 CA_default 部分應包含

copy_entensions = copy

然後將請求中的副檔名複製到證書中。

似乎不可能將此限制為僅 subjectAltName 條目。

引用自：https://unix.stackexchange.com/questions/258064