{"id":3094,"date":"2023-11-07T15:09:43","date_gmt":"2023-11-07T11:09:43","guid":{"rendered":"https:\/\/extralan.ru\/?p=3094"},"modified":"2023-11-10T15:29:55","modified_gmt":"2023-11-10T11:29:55","slug":"%d0%b2%d1%8b%d0%b4%d0%b0%d1%87%d0%b0-%d1%81%d0%b5%d1%80%d1%82%d0%b8%d1%84%d0%b8%d0%ba%d0%b0%d1%82%d0%be%d0%b2-%d0%b4%d0%bb%d1%8f-apache2-%d1%81-subject-alternative-name-san","status":"publish","type":"post","link":"https:\/\/extralan.ru\/?p=3094","title":{"rendered":"\u0412\u044b\u0434\u0430\u0447\u0430 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432 \u0434\u043b\u044f Apache2 \u0441 Subject Alternative Name (SAN)"},"content":{"rendered":"\n

\u0418\u043c\u0435\u0435\u0442\u0441\u044f \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0439 \u0446\u0435\u043d\u0442\u0440 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 Windows Server Active Directory\u00a0Certificate\u00a0Services (AD CS)<\/strong>. \u0417\u0430\u0434\u0430\u0447\u0430: \u0432\u044b\u0434\u0430\u0442\u044c \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442 \u0434\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0441 Apache2<\/strong> \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u0443\u0434\u0435\u0442 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u0432 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0430\u0445 Chrome \u0438 Edge (\u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u0430 SAN<\/strong> \u043e\u043f\u0446\u0438\u044f \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430).<\/p>\n\n\n\n

\u0428\u0430\u0433 0<\/h2>\n\n\n\n

\u041d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 Apache2. <\/strong><\/p>\n\n\n\n

\u041e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u043c\u0441\u044f \u0433\u0434\u0435 \u0431\u0443\u0434\u0443\u0442 \u043b\u0435\u0436\u0430\u0442\u044c \u0444\u0430\u0439\u043b\u044b, \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0432 \u0445\u043e\u0434\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0438, \u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e: \/home\/administrator\/certs\/webserver.domain.ru<\/strong> \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u043c \u0432 \u0434\u0430\u043d\u043d\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e.<\/p>\n\n\n\n

\u0428\u0430\u0433 1<\/h2>\n\n\n\n

\u041d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 Apache2.<\/strong> <\/p>\n\n\n\n

\u0421\u043e\u0437\u0434\u0430\u0451\u043c \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b webserver.domain.ru.cnf<\/strong> \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u044f:<\/p>\n\n\n\n

[ req ]\ndefault_bits            = 2048\ndistinguished_name      = req_distinguished_name\n\nstring_mask = utf8only\n\nreq_extensions = v3_req # The extensions to add to a certificate request\n\n[ req_distinguished_name ]\ncountryName                     = Country Name (2 letter code)\ncountryName_default             = AU\ncountryName_min                 = 2\ncountryName_max                 = 2\n\nstateOrProvinceName             = State or Province Name (full name)\nstateOrProvinceName_default     = Some-State\n\nlocalityName                    = Locality Name (eg, city)\n\n0.organizationName              = Organization Name (eg, company)\n0.organizationName_default      = Internet Widgits Pty Ltd\n\norganizationalUnitName          = Organizational Unit Name (eg, section)\n#organizationalUnitName_default =\n\ncommonName                      = Common Name (e.g. server FQDN or YOUR name)\ncommonName_max                  = 64\n\nemailAddress                    = Email Address\nemailAddress_max                = 64\n\n[ req_attributes ]\nchallengePassword               = A challenge password\nchallengePassword_min           = 4\nchallengePassword_max           = 20\n\nunstructuredName                = An optional company name\n\n[ v3_req ]\n\n# Extensions to add to a certificate request\n\nbasicConstraints = CA:FALSE\nkeyUsage = nonRepudiation, digitalSignature, keyEncipherment\nsubjectAltName = @alt_names\n\n[ alt_names ]\nDNS.1 = webserver.domain.ru\n<\/code><\/pre>\n\n\n\n
\u0417\u0434\u0435\u0441\u044c \u043e\u0441\u043e\u0431\u043e\u0435 \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043d\u0443\u0436\u043d\u043e \u0443\u0434\u0435\u043b\u0438\u0442\u044c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430\u043c:<\/p>\n\n\n\n
req_extensions = v3_req — \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043d\u0443\u0436\u043d\u0443\u044e \u0441\u0435\u043a\u0446\u0438\u044e.<\/p>\n\n\n\n
keyUsage = nonRepudiation, digitalSignature, keyEncipherment — \u0437\u0430\u0434\u0430\u0451\u0442 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d\u043d\u044b\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u043d\u044b\u0439 \u043d\u0430\u0431\u043e\u0440 \u0434\u0430\u043d\u043d\u044b\u0445 \u043e\u043f\u0446\u0438\u0439 \u043d\u0435 \u0434\u0430\u0441\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b \u043d\u0430 \u0435\u0433\u043e \u043e\u0441\u043d\u043e\u0432\u0435 \u0447\u0442\u043e \u043b\u043e\u0433\u0438\u0447\u043d\u043e \u0432 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435.<\/p>\n\n\n\n
subjectAltName = @alt_names \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u0441\u0435\u043a\u0446\u0438\u044e, \u0433\u0434\u0435 \u0431\u0443\u0434\u0435\u043c \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0442\u044c SAN \u0434\u043b\u044f \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430<\/p>\n\n\n\n
[ alt_names ] DNS.1 = webserver.domain.ru — SAN \u0437\u0430\u043f\u0438\u0441\u044c, \u043c\u043e\u0436\u043d\u043e \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e DNS.2, DNS.3 \u0438 \u0442\u0430\u043a \u0434\u0430\u043b\u0435\u0435.<\/p>\n\n\n\n
webserver.domain.ru — FQDN \u0438\u043c\u044f \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0435\u0440\u0430, \u043a \u043a\u043e\u0442\u043e\u0440\u043e\u043c\u0443 \u0431\u0443\u0434\u0443\u0442 \u043e\u0431\u0440\u0430\u0449\u0430\u0442\u044c\u0441\u044f \u043a\u043b\u0438\u0435\u043d\u0442\u044b.<\/p>\n\n\n\n
\u0428\u0430\u0433 2<\/h2>\n\n\n\n
\u041d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 Apache2.<\/strong> <\/p>\n\n\n\n
\u0421\u043e\u0437\u0434\u0430\u0451\u043c \u043a\u043b\u044e\u0447 \u0438 \u0437\u0430\u043f\u0440\u043e\u0441 \u043d\u0430 \u0432\u044b\u0434\u0430\u0447\u0443 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u0430, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b openssl, \u0441\u0434\u0435\u043b\u0430\u043d\u043d\u044b\u0439 \u0432 \u043f\u0440\u043e\u0448\u043b\u043e\u043c \u0448\u0430\u0433\u0435.<\/p>\n\n\n\n
openssl genrsa -out webserver.domain.ru.key 2048\n\nopenssl req -new -nodes -keyout webserver.domain.ru.key -out webserver.domain.ru.req -config webserver.domain.ru.cnf\n# \u041d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0432\u0432\u0435\u0441\u0442\u0438 \u0442\u043e\u043b\u044c\u043a\u043e: Common Name (e.g. server FQDN or YOUR name) []:webserver.domain.ru\n# \u041e\u0441\u0442\u0430\u043b\u044c\u043d\u043e\u0435 \u043f\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0441\u0442\u0438.\n# \u0415\u0441\u043b\u0438 \u0441\u043f\u0440\u043e\u0441\u0438\u0442 \u043f\u0430\u0440\u043e\u043b\u044c, \u0442\u043e \u043e\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u0435\u0433\u043e \u043f\u0443\u0441\u0442\u044b\u043c.<\/code><\/pre>\n\n\n\n
\u0428\u0430\u0433 3<\/h2>\n\n\n\n
\u041d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 Certification Authority \u0441\u0435\u0440\u0432\u0435\u0440\u0430.<\/strong> <\/p>\n\n\n\n
\u041a\u043e\u043f\u0438\u0440\u0443\u0435\u043c \u0432 C:\\Requests\\ \u0444\u0430\u0439\u043b *.req<\/strong>, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0439 \u0432 \u043f\u0440\u043e\u0448\u043b\u043e\u043c \u0448\u0430\u0433\u0435, \u0434\u043e\u043b\u0436\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0441\u044f «C:\\Requests\\webserver.domain.ru.req<\/strong>«.<\/p>\n\n\n\n
\u0417\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u0443\u044e \u0441\u0442\u0440\u043e\u043a\u0443 \u043e\u0442 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0438\u043c\u0435\u044e\u0449\u0435\u0433\u043e \u043f\u0440\u0430\u0432\u0430 \u043d\u0430 \u0432\u044b\u0434\u0430\u0447\u0443 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432 (Domain Admins \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440). \u041f\u0440\u043e\u0431\u0443\u0435\u043c \u0432\u044b\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442:<\/p>\n\n\n\n
certreq -submit -attrib \"CertificateTemplate:WebServer\" \"C:\\Requests\\webserver.domain.ru.req\" \"C:\\Requests\\webserver.domain.ru.cer\"<\/code><\/pre>\n\n\n\n
\u041e\u0442\u043a\u0440\u043e\u0435\u0442\u0441\u044f \u043e\u043a\u043d\u043e \u0434\u043b\u044f \u0432\u044b\u0431\u043e\u0440\u0430 \u0446\u0435\u043d\u0442\u0440\u0430 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438, \u0432\u044b\u0431\u0438\u0440\u0430\u0435\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0439. \u0421\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442 \u0434\u043e\u043b\u0436\u0435\u043d \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c\u0441\u044f, \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c\u0441\u044f \u0432 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0435, \u0430 \u0437\u0430\u0431\u0440\u0430\u0442\u044c \u0435\u0433\u043e \u043c\u043e\u0436\u043d\u043e \u0432 «C:\\Requests\\webserver.domain.ru.cer». \u0414\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043c\u043e\u0436\u043d\u043e \u0435\u0433\u043e \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u0438 \u0443\u0431\u0435\u0434\u0438\u0442\u044c\u0441\u044f \u0447\u0442\u043e \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 Subject Alternative Name<\/strong>.<\/p>\n\n\n\n
\u0428\u0430\u0433 4<\/h2>\n\n\n\n
\u041d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 Apache2.<\/strong> <\/p>\n\n\n\n
\u041a\u043e\u043f\u0438\u0440\u0443\u0435\u043c webserver.domain.ru.cer<\/strong> \u0438\u0437 \u043f\u0440\u043e\u0448\u043b\u043e\u0433\u043e \u0448\u0430\u0433\u0430 \u043d\u0430 \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0435\u0440 \u0438 \u043a\u043e\u043d\u0432\u0435\u0440\u0442\u0438\u0440\u0443\u0435\u043c \u0432 pem<\/strong>:<\/p>\n\n\n\n
openssl x509 -in webserver.domain.ru.cer -out webserver.domain.ru.pem<\/code><\/pre>\n\n\n\n
\u041e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u043c\u0441\u044f, \u0433\u0434\u0435 \u0431\u0443\u0434\u0443\u0442 \u043b\u0435\u0436\u0430\u0442\u044c pem<\/strong> \u0438 key<\/strong> \u0444\u0430\u0439\u043b\u044b \u0434\u043b\u044f Apache2. \u042f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e \/etc\/ssl\/certs\/ \u0438 \/etc\/ssl\/private\/ (\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u043d\u0435 \u0441\u043e\u0432\u0441\u0435\u043c \u043f\u0440\u0430\u0432\u0438\u043b\u044c\u043d\u043e). \u041a\u043e\u043f\u0438\u0440\u0443\u0435\u043c \u043f\u043e\u043b\u0443\u0447\u0438\u0432\u0448\u0438\u0435\u0441\u044f \u0444\u0430\u0439\u043b\u044b \u0442\u0443\u0434\u0430:<\/p>\n\n\n\n
cp webserver.domain.ru.pem \/etc\/ssl\/certs\/webserver.domain.ru.pem\ncp webserver.domain.ru.key \/etc\/ssl\/private\/webserver.domain.ru.key<\/code><\/pre>\n\n\n\n
\u0428\u0430\u0433 5<\/h2>\n\n\n\n
\u041d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0435\u0440\u0430 Apache2.<\/strong><\/p>\n\n\n\n
\u041e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u043c \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0441\u0430\u0439\u0442\u0430, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \/etc\/apache2\/sites-available\/default-ssl.conf<\/strong> \u0438 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u043c\/\u043c\u0435\u043d\u044f\u0435\u043c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b:<\/p>\n\n\n\n
SSLCertificateFile     \/etc\/ssl\/certs\/webserver.domain.ru.pem\nSSLCertificateKeyFile  \/etc\/ssl\/private\/webserver.domain.ru.key<\/code><\/pre>\n\n\n\n
\u041f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u043c \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0435\u0440 systemctl restart apache2<\/strong><\/p>\n\n\n\n
\u041f\u0440\u043e\u0431\u0443\u0435\u043c \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 \u0432 \u0432\u0435\u0431 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u0435 \u0438 \u0443\u0434\u043e\u0441\u0442\u043e\u0432\u0435\u0440\u044f\u0435\u043c\u0441\u044f, \u0447\u0442\u043e \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0437\u0430\u0449\u0438\u0449\u0435\u043d\u043e (\u043a\u043e\u0440\u043d\u0435\u0432\u044b\u0435 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u044b \u0434\u043e\u043b\u0436\u043d\u044b \u0431\u044b\u0442\u044c \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u044b \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435).<\/p>\n\n\n\n
Firefox \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0435 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0435 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432, \u043c\u043e\u0436\u043d\u043e \u0447\u0435\u0440\u0435\u0437 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0438 \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u043a\u043e\u0440\u043d\u0435\u0432\u043e\u0439 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442, \u0438\u043b\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0435 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0435 \u0441\u0435\u0440\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0432:<\/p>\n\n\n\n
about:config\nsecurity.enterprise_roots.enabled -> true<\/code><\/pre>\n\n\n\n
\u0427\u0442\u043e \u043f\u043e\u0447\u0438\u0442\u0430\u0442\u044c<\/h2>\n\n\n\n