Génération des requêtes PKCS10 pour certificats serveur/service

Pour générer une requête PKCS10 contenant des champs SubjectAltName, il est nécessaire d'utiliser un fichier de configuration lors de la l'exécution de la commande.

La commande devient alors :

$ openssl req -new -newkey rsa:2048 -nodes -out cert.csr -keyout cert.key 
   -subj "/O=GRID-FR/C=FR/O=<O>/OU=<OU>/CN=<Nom serveur/service>" 
   -config <config>

Le fichier <config> est un fichier de configuration pour la commande openssl.

Par exemple, pour un certificat pour le service www.labo.cnrs.fr, pour lequel on veut 2 valeurs supplémentaires pour le champ subjectaltname www.labo.cnrs.fr et www1.labo.cnrs.fr, le fichier de configuration doit contenir :

[ req ]
distinguished_name      = req_distinguished_name
req_extensions = v3_req

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
subjectAltName = \@alt_names

[alt_names]
DNS.1 = www1.labo.cnrs.fr
DNS.2 = www2.labo.cnrs.fr

[ req_distinguished_name ]