Làm cách nào để tôi ký các chứng chỉ SSL của riêng mình để chúng bao gồm các tên miền có www và không có www?

Khi sử dụng Tổ chức phát hành chứng chỉ thương mại, hãy tạo csr cho tên chung www.mysite.com và gửi nó cho họ sẽ dẫn đến chứng chỉ được cấp hoạt động cho cả hai www.mysite.com và mysite.com.

Yêu cầu ký là một yêu cầu tên duy nhất- chỉ www.mysite.com, vì vậy không có gì đặc biệt xảy ra ở cấp độ csr:

openssl genrsa -des3 -out mysite.com.key 4096

openssl req -new -key mysite.com.key -out mysite.com.csr
tên thông thường, tức là tên của bạn: www.mysite.com

Nhưng những gì nhận được từ CA thương mại là một chứng chỉ hoạt động trên cả www và không phải www.

Câu hỏi: Làm cách nào tôi có thể lấy một csr chỉ dành cho www.mysite.com và, sử dụng openssl với cơ quan cấp chứng chỉ của riêng tôi, cấp chứng chỉ hoạt động cho cả hai www.mysite.com và mysite.com, giống như các công ty thương mại làm?

Tôi biết bạn có thể sửa đổi csr để thêm nhiều miền bằng tệp cấu hình nhưng chỉ cần có phiên bản www trong csr khi sử dụng công ty thương mại. Không cần tệp cấu hình đa miền.

Các CA thương mại có sửa đổi csr đã gửi để bao gồm cả hai phiên bản không? Hoặc có một lá cờ trong lệnh ký làm cho www không bắt buộc?

Tôi có thể sửa đổi lệnh này để thêm cả phiên bản www và không phải www mà không thay đổi csr không?

openssl x509 -req -days 365 -in mysite.com.csr -CA Authority.crt -CAkey Authority.key -set_serial 12345 -out mysite.com.crt

Hoặc có một cách đơn giản để thêm tên miền thứ hai vào csr không có một tập tin cấu hình?

openssl req -new -key mysite.com.key -out mysite.com.csr
tên thông thường, tức là tên của bạn: mysite.com, www.mysite.com

CSR không cần phải sửa đổi. Chứng chỉ không phải là CSR, không phải là bản sao của CSR và không được tạo bằng cách ký tên vào CSR. Chứng chỉ là một đối tượng mới có chứa một số dữ liệu được sao chép từ CSR và một số dữ liệu mới.

Đặc biệt, các CA 'thương mại' (LetsEncrypt và CACert trong số những CA khác không tính tiền, vì vậy không thực sự mang tính thương mại) đặt Tiện ích mở rộng SubjectAlternativeName (SAN) (trong chứng chỉ) để hỗ trợ nhiều tên 'DNS' (nó cũng có thể hỗ trợ các loại tên khác, nhưng bạn không muốn điều đó ở đây). Thuộc tính CommonName trong tên Chủ đề không được chứa nhiều tên miền, vì không thể khớp được.

Mặc dù OpenSSL có thể thực hiện SAN theo nhiều cách, nhưng sử dụng openssl x509 -req -CA/CAkey làm cho nó đơn giản hơn: tùy chọn duy nhất là chỉ định một -extfile có chứa các cài đặt mong muốn. Đây có thể cần phải là một tệp thực tế mà bạn tạo rõ ràng hoặc trên Unix trong một số trình bao, bạn có thể sử dụng <(lệnh) cú pháp để tạo một tệp tạm thời ẩn. Nhìn thấy:
Chrome không tin tưởng chứng chỉ tự ký
Máy tính để bàn Chrome và Android từ chối chấp nhận chứng chỉ tự ký đáng tin cậy
https://stackoverflow.com/questions/61125319/node-js-self-signed-certificate-is-still-showing-as-not-trusted-in-my-browser
và nhiều hơn nữa được liên kết tại mỗi. (Nhiều người liên quan đến Chrome vì Chrome là một lý do để sử dụng SAN, nhưng các phương pháp để triển khai SAN không phụ thuộc vào lý do.)