openssl - 윈도우 환경의 명령행에서 SAN 적용하는 방법
방법은 아래의 글에 잘 나옵니다.
Provide subjectAltName to openssl directly on the command line
; https://security.stackexchange.com/questions/74345/provide-subjectaltname-to-openssl-directly-on-the-command-line
-config 옵션을 이용해 conf 파일로 subjectAltName을 적용하는 방법은 이미 저도 설명한 적이 있습니다.
openssl - CA로부터 인증받은 새로운 인증서를 생성하는 방법
; https://www.sysnet.pe.kr/2/0/12570#san
반면, 순수하게 명령행을 이용하는 것으로는 'addext' 옵션이 있다고 하는데요,
openssl req -key win10en.key -new -out win10en.csr -subj "/CN=win10en" -addext "subjectAltName=DNS:win10en"
실제로 위의 csr 파일을 crt 인증서로 만들었을 때, 윈도우의 인증서 정보 창으로는 "Subject Alternative Name" 항목이 없습니다. 참고로 addext 옵션은 openssl 1.1.1 버전 이후부터 지원한다고 하는데,
c:\temp> openssl version
OpenSSL 3.0.7 1 Nov 2022 (Library: OpenSSL 3.0.7 1 Nov 2022)
제가 사용하는 것은 "3.0.7"임에도 안 되고 있습니다. (윈도우 버전의 openssl에 문제일까요? ^^;)
어쩔 수 없이 외부 파일을 도입해야 합니다. 일단 -config 파일까지는 아니더라도 간단하게 -extfile 옵션으로 처리하는 방법 정도가 최선일 듯합니다. 따라서, CSR 파일 생성 단계가 아닌 CA 인증서로 서명할 때 다음과 같이 -extfile을 이용해 subjectAltName을 지정할 수 있습니다.
c:\temp> type ssl_conf.txt
subjectAltName=DNS:win10en
c:\temp> openssl x509 -req -days 3650 -in win10en.csr ...[생략]... -out win10en.crt -extfile ssl_conf.txt
이렇게 해서 생성한 CRT 파일을 보면 Subject Alternative Name 항목이 정확하게 나옵니다. ^^
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]