Чтобы определить ПОСЛЕДОВАТЕЛЬНОСТЬ GeneralNames, вам необходимо определить crlDistributionPoints в вашей конфигурации OpenSSL, используя полный формат:
crlDistributionPoints = cdp1
...
[cdp1]
полное имя = URI:http://example.com/myca.crl,URI:http://example.org/my.crl
Что проявляется как:
Точки распространения CRL X509v3:
ФИО:
URI: http://example.com/myca.crl
URI: http://example.org/my.crl
Полный пример начнется с создания файла конфигурации (например, пример.cnf):
[требуется]
подсказка = нет
отличительное_имя = отличительное имя
[дн]
имя_страны = ГБ
имя_организации = пример
commonName = пример веб-сервера
[дополнительно]
subjectKeyIdentifier=хэш
authorKeyIdentifier=keyid:всегда,эмитент
keyUsage = критический, digitalSignature, keyAgreement
расширенный ключ использования = серверная аутентификация
crlDistributionPoints = cdp1
subjectAltName = @alt_names
[cdp1]
полное имя = URI:http://example.com/myca.crl, URI:http://example.org/my.crl
[alt_names]
DNS.1 = www.example.com
DNS.2 = www.example.org
Используйте конфигурацию для создания запроса на подпись сертификата (CSR):
openssl req -newkey rsa:2048 -keyout example.key -nodes -config example.cnf -out example.csr
Обратите внимание, что в приведенном выше примере создается 2048-битный ключ RSA без защиты паролем. Удалить -узлы если вам нужно защитить паролем закрытый ключ.
Попросите ЦС подписать CSR, сгенерированный выше.
