Archive

Archive for the ‘PKI v1 templates’ Category

Utfärda certifikat med anpassat subject och alternative subject name

October 16th, 2007 Comments off

När man installerar en SBS server så får man med ett self-signed certifikat med flera CN i subject-fältet, detta är ganska praktiskt om man har en server som man vill nå med https och olika namn utan den berömda certifikat varningen.

Om du själv vill skapa ett sådant certifikat med hjälp av din Windows 2003 baserade CA så kan du göra det genom att följa denna instruktion:

 1. Tala om för CA tjänsten att det är OK att ändra Subject och Alternative Subject Name i ett cert request genom att köra följande kommandon på din CA server:
  1. certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
  2. certutil.exe -setreg ca\CRLFlags +CRLF_ALLOW_REQUEST_ATTRIBUTE_SUBJECT
 2. Starta om Certsvc tjänsten så att inställningarna tas i bruk
 3. Skapa ett certifikat begärna (cert request), eller använd exempelvis den som kommer från IIS:ens certifikat guide
  • Om du vill skapa en egen request  baserad på en bef. mall så kan du använda följande steg
   1. Spara ner filen req.txt (kolla attachements) till din lokala disk
   2. ändra i den så CertificateTemplate pekar på den mall du vill utgå ifrån
   3. kör:  certreq.exe -new req.txt cert-req.txt
 4. kör följande kommando för att ändra subject-fältet så att den innehåller flera CN=
  • certreq.exe -attrib "CN:localhost\nCN:www.test.com" -submit cert-req.txt new.cer
 5. Installera certifikatet och koppla den till det nyckelpar som skapats genom att köra: certreq.exe -accept new.cer
 6. Kör certmgr.msc och titta under private så hittar du det nya certifikatet och kan exportera den tillsammans med nycklarna

/Hasain