Meteen naar de inhoud

Certificaten met een geldigheidsduur van 47 dagen komen eraan. Ben je klaar?

Handel nu →

  1. Blogs
    2. PKI

SAN (Subject Alternative Name) toevoegen aan extra kenmerken

Posted byHemant Bhatt 5 Minuten
SAN-kenmerken toevoegen aan een certificaat
Inhoudsopgave

Alle domeinnamen en IP-adressen die door het certificaat worden beschermd, worden systematisch vermeld met behulp van de SAN- of Subject Alternative Name. De Subject Alternative Names moeten worden opgegeven op een SSL/TLS-certificaat wanneer verdere websiteacties beveiligd moeten worden, zodat de DNS-server het IP-adres aan de domeinnaam kan koppelen.

De SAN-informatie is te vinden in de SSL/TLS-certificaatgegevens door te klikken op het hangslotpictogram in de adresbalk van de meeste webbrowsers. De term SSL SAN, of Secure Socket Layer Subject Alternative Name, beschrijft de capaciteit van een SSL-certificaat om meerdere hostnamen te dekken, inclusief domeinen en subdomeinen. Het veld Subject Alternative Name (SAN) in het certificaat beschermt meerdere volledig gekwalificeerde domeinnamen (FQDN) met één SAN SSL-certificaat, wat het certificaatbeheer vereenvoudigt en de beveiliging van meerdere domeinen verbetert.

In deze blog bespreken we hoe u Subject Alternative Name-kenmerken aan een certificaat kunt toevoegen, bijvoorbeeld Web Server Certificate Enrollment met SAN Extension. We bespreken ook een fout, namelijk: het toevoegen van SAN (Subject Alternative Name) aan het veld 'Extra kenmerken' op het aanvraagformulier voor een Microsoft CA-certificaat genereert niet automatisch een certificaat met de vermelding 'Subject Alternative Name'.

Webservercertificaatinschrijving met SAN-extensie

Het registreren van een certificaat met een aangepaste SAN-extensie is nu supereenvoudig. Je moet een aantal instructies volgen en je krijgt het.

Certificaatsjabloon instellen

De meeste certificaatsjablonen zijn zo opgezet dat ze een onderwerp samenstellen uit Active DirectoryMaar in het geval van SSL-certificaten gebruiken ze 'Supply' in de aanvraag omdat ze een aangepaste onderwerpnaam gebruiken. Als u de standaard webserversjabloon gebruikt, hoeft u niets aan te passen. Voor de aangepaste certificaatsjabloon moet u deze bijwerken zoals hieronder aangegeven.

Een certificaat registreren met een aangepaste SAN-extensie

Daarnaast moet u via het tabblad Beveiliging de machtigingen Lezen en Inschrijven aan uw account geven.

Certificeringsinstantie instellen

Certificeringsinstantie instellen

  • Ga naar de certsrv-console en vouw 'Uitgifte' uit CA.
  • Ga naar Certificaatsjabloon en open het.
  • Controleer of het sjabloon in het venster wordt vermeld. Als dat niet het geval is, klikt u met de rechtermuisknop op het certificaatsjabloon en vervolgens op Nieuw -> Uit te geven certificaatsjabloon.
  • Selecteer de gewenste sjabloon en klik op toevoegen.
certsrv-console en uitvouwen Uitgevende CA

Certificaatinschrijvingsproces

  • Open de mmc-console. Ga in het Console1-venster naar Bestand -> Snap-in toevoegen/verwijderen.

    mmc-console

  • Klik in het dialoogvenster Snap-in toevoegen/verwijderen op certificaten en voeg toe.

    Dialoogvenster Snap-in toevoegen/verwijderen

  • Klik in het vak 'Certificaten' op 'Computeraccount' en klik op Volgende.

  • Klik in het venster 'Computer selecteren' op Lokale computer en vervolgens op Voltooien.

    certificaten-snap-in-box

  • Klik op OK en sluit de module.

  • Klik met de rechtermuisknop op het persoonlijke knooppunt. Klik op Alle taken -> Nieuw certificaat aanvragen.

    Onderwerp Alternatieve Naam Certificaten

  • Klik op Volgende op de pagina Voordat u begint.

  • Selecteer op de pagina 'Selecteer inschrijvingsbeleid' het juiste beleid en ga verder.

    Onderwerp Alternatieve naam - Certificaatinschrijvingsbeleid

  • Klik in het vak Certificaat aanvragen op de gewenste sjabloon, vouw de details uit en open de eigenschappen om deze te configureren.

    Onderwerp Alternatieve naam - Certificaat aanvragen-vak

  • Het dialoogvenster Certificaateigenschappen verschijnt als volgt.

    Alternatieve naam voor onderwerp - • Dialoogvenster Certificaateigenschappen

  • Omdat u een alternatieve onderwerpnaam (SAN) gebruikt, kunt u de onderwerpnaam leeg laten. Selecteer in de keuzelijst het juiste type SAN. (Bij SSL-certificaten is DNS gebruikelijk.)

  • Voer in het waardevak de namen in de juiste notatie in en klik op 'Toevoegen'. Herhaal deze stap voor alle waarden die u wilt toevoegen.

    certificaatinschrijvingspagina

  • Klik op 'Ok' en sluit af. U keert terug naar de certificaatinschrijvingspagina. Klik op 'Inschrijven'.

    certificaatinschrijvingspagina - certificaten aanvragen

  • Klik op Voltooien wanneer het certificaat succesvol is geïnstalleerd.

    Onderwerp Alternatieve naam - resultaten van certificaatinstallatie

  • Hier kunt u de SAN-gegevens van het certificaat bekijken.

    Gegevens van de alternatieve naam van het certificaatonderwerp

Problemen oplossen

Issue

Het gegenereerde certificaat bevat geen SAN-vermelding (Subject Alternative Name), ook al is SAN toegevoegd in het veld voor extra kenmerken.

Veroorzaken

Als het uitgiftebeleid van de Microsoft CA niet is ingesteld om het kenmerk Subject Alternative Name(s) via de CA-webinschrijvingspagina te accepteren, kan het uitvoeren van de voorgaande stappen niet resulteren in een certificaat met een SAN-vermelding.

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Het resultaat

Om dit op te lossen, moeten we deze opdracht uitvoeren via de administratieve opdrachtprompt:

certutil -setreg beleid\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

CA's webinschrijvingspagina

Zorg ervoor dat u het systeem opnieuw opstart nadat u deze opdracht hebt uitgevoerd. ADCS Diensten door te draaien

net stop certsvc en net start certsvc

U kunt nu het certificaat met de SAN-vermelding aanmaken via de webinschrijvingspagina van de CA.

Uitgiftebeleid van Microsoft CA

Een certificaataanvraag (CSR) voor een Subject Alternative Name (SAN) maken

We configureren dit met behulp van OpenSSL. U moet dus vanuit de map OpenSSL\bin werken via een opdrachtprompt of een PowerShell-sessie.
De stappen zijn:

  1. Maak een openssl-configuratiebestand dat onderwerpalternatieve namen (.cnf) inschakelt
    Om een ​​CSR voor SAN te genereren, hebben we distinguished_name en req_extensions nodig
    Bewerk uw openssl cnf-bestand zoals in het onderstaande voorbeeld

[verzoek]
onderscheiden_naam = vereiste_onderscheiden_naam
req_extensions = v3_req
countryName = Landnaam (2-letterige code)
stateOrProvinceName = Naam van de staat of provincie (volledige naam)
localityName = Plaatsnaam (bijv. stad)
organizationalUnitName = Naam van de organisatie-eenheid (bijv. sectie)
commonName = [example.com]

[ v3_req ]

# Uitbreidingen die u aan een certificaataanvraag kunt toevoegen

subjectAltName = @alt_names
[alt_namen]
DNS.1 = [voorbeeld.com]
DNS.2 = [voorbeeld.voorbeeld.com]
DNS.3 = [voorbeeld.com.edu]

  1. Maak een certificaataanvraagbestand (.csr) door een opdracht uit te voeren.

# openssl req -newkey [priv.key] -out [san.csr] -config [san.cnf]

Vervang [priv.key] door uw persoonlijke sleutel, [san.csr] door de gewenste CSR-naam en [san.cnf] door de naam van uw configuratiebestand.

Conclusie

Alle domeinnamen en IP-adressen die door het certificaat worden beschermd, worden georganiseerd in een SAN- of onderwerpalternatieve naam. U kunt eenvoudig SAN-vermeldingen aan de certificaten toevoegen door de instructies in deze blog te volgen. Er is een probleem wanneer het gegenereerde certificaat geen SAN-vermelding bevat, zelfs niet na het toevoegen van een SAN Dit kan worden opgelost door één enkele opdracht uit te voeren die de vermelding toevoegt, waarna u het certificaat kunt aanmaken.

Ontdek onze

Gerelateerde blogs

Cloud-PKI-Zonder-Controle-TeVerliezen

Neem de controle over cloud-PKI zonder de beveiliging in gevaar te brengen.

19 juni 2026
Certificaat Levenscyclusbeheer

Beperkingen van AWS Certificate Manager: Waar ACM tekortschiet voor Enterprise PKI

18 juni 2026
PKI

Referentiehandleiding voor hotfixes voor Windows Server PKI & ADCS

3 juni 2026

Ontdek het hier

Meer onderwerpen