使用JDK 7附带的keytool,我正在创建一个包含SAN扩展证书的密钥库。如果解码证书,我会看到SAN扩展。如果我然后使用keytool导出CSR,则CSR中缺少SAN信息。
是什么给出了?
更新: 我已经了解到,如果我想在CSR中包含SAN,我需要明确指出命令中的SAN是这样的:
keytool -certreq -alias mycertificate -keystore mekeystore.jks -ext san=dns:mydomain.com
也就是说,我在使用SAN时已经开始尝试使用我的OpenSSL CA签署CSR,这是不必要的复杂。
答案 0 :(得分:4)
导出CSR时不包含SAN是正常的。 在生成CSR时,您只需提供一个通用名称或域名。
在证书颁发机构的证书订购过程中添加了SAN或主题备用名称。 SAN正在证书上添加,而不是在CSR上。