将主题备用名称（SAN）添加到现有的证书签名请求（CSR）

谁能告诉我如何在现有的CSR中添加多个主题备用名称？

我不是在谈论用SAN生成CSR或在签名时添加SAN-我知道如何做这两个事情。

背景：我们遇到的问题是HP刀片机箱允许您生成CSR，但它们仅允许一个SAN。我们无法使用在其他位置生成的CSR，因为我们无法使用生成的证书，因为无法（我可以找到）将密钥上传到刀片服务器机箱。

我们的CA的标准流程不允许添加SAN正在签名。他们愿意尝试，但是我正在尽力寻找一个解决方案，因为这将意味着我们将不必依靠他们拥有非标准流程-根据我的经验，如果他们需要使用非标准流程生活最终将变得艰难。例如，由于请假等原因导致不了解非标准流程的工作人员出现时。

当前的方法是通过Web gui连接到板载管理员admin并使用单个CN生成CSR。

Web GUI仅允许在CSR中使用单个SAN。

然后，我们在openssl配置中使用以下节对它进行自签名：

[ v3_ca ]
subjectAltName = "DNS:bladesystem8,DNS:bladesystem8.services.adelaide.edu.au,DNS:bladesystem8-backup,DNS:bladesystem8-backup.services.adelaide.edu.au"

生成的证书具有额外的SAN。

如果您的机箱不支持添加SAN，则需要从机箱上拿走钥匙，并使用openssl生成CSR。

确保req_extensions = v3_req在本[ req ]节中未注释。

将添加subjectAltName到[ v3_req ]部分。

生成新的CSR。

openssl req -new -key extracted_c7000.key -out your_new.csr

您无法编辑现有的CSR。

重要说明： 所有这些在某种程度上都是推测性的，因此，如果您深入了解代码，并且与我所说的不一致，请相信代码。我不是CA专家，我只是在电视上玩。说：

作为企业社会责任的一个特点，这将很艰难。以编程方式生成CSR的最后一步是，对您创建的所有内容进行哈希处理，然后使用私钥对其进行签名。因此，尽管您可以将这些属性添加到CSR的文本中，但签名不会与内容匹配，因此没有CA会对其进行签名。

但是，就您而言，您可以控制（或至少与之联系）CA。这给您两个选择：

1. 您可以指示CA随意忽略CSR上的签名并以任何方式颁发证书。
2. 您可以让CA颁发与要求的证书不同的证书（例如，通过添加属性）。

其中，＃1似乎是最容易的。您需要打破OpenSSL上的防篡改标识才能执行此操作，但是它具有一些功能，应该会使使用起来更加容易。我将从asn1parse开始，它将向您展示如何分解CSR。

虽然cakemox的答案无疑是最简单的答案，但是如果您不能以某种方式获得私钥的副本，则还有另一种方法，那就是您不能使用“注册代理”证书来重新签署CSR。

这篇css-security.com博客文章包含所有细腻的细节。但是，该过程的高级概述如下所示：

• 获得注册代理证书
• 修改SSL证书模板以要求颁发EA证书
• 获取需要SAN信息的CSR
• 在添加SAN信息时，使用EA证书来退出CSR。

当我亲自尝试时，我很确定我跳过了有关修改证书模板的部分。假设您可以自己生成一个注册代理证书，则实际过程如下所示。

创建一个带有SAN扩展信息的san.inf

[Extensions]
2.5.29.17="{text}dns=mysan1.example&dns=mysan2.example"

重新签署要求

certreq -policy -config "myca.example\CA" orig-request.csr san.inf corrected-request.csr

提交更正的请求

certreq -submit -config "myca.example\CA" -attrib "CertificateTemplate:MyTemplate" corrected-request.csr

然后正常进行发行过程。