# OPENSSL 產生SAN CSR及KEY ###### tags: `SSL` `CSR` `SAN` `憑證需求檔` `Open SSL` ## 1.產生CONF檔。 在OPENSSL\BIN中，建立一個純文字檔案，填入下列內容(""內的值需替換)。 ``` [req] distinguished_name = req_distinguished_name req_extensions = v3_req default_bits = 2048 prompt = no [req_distinguished_name] C = "TW" ST = "Taiwan" L = "Taipei" O = "公司名" CN = "主要域名" [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = "次要域名1" DNS.2 = "次要域名2" ``` 存檔完成後，改檔名為xxx.conf(如下圖例)。 PS:次要域名填寫時，不能把主要域名又填進去。  ### 相關設定說明。 distinguished_name <--相關申請資料訊息。 default_bits <--預設加密強度。 prompt <--建檔時是否再次確認，沒此設定將會再次詢問。 req_extensions = v3_req <--產生V3版的證書。 ## 2.透過MS-DOS(以管理者權限執行)，產生CSR及KEY。 輸入下面命令(中文字部分需替換)。 ``` openssl req -new -newkey rsa:2048 -nodes -out 自取的名字.csr -keyout 自取的名字.key -config 剛剛CONF的檔名.conf ``` 結果應如下圖例。  同時，會出現CSR及KEY檔。  ## 3.透過MS-DOS(以管理者權限執行)，確認次網域是否能查詢到。 輸入下面命令(中文字部分需替換)。 ``` openssl req -text -noout -in 剛剛產生的CSR名稱.csr ``` 結果應如下圖例。  目前此方式申請GODADDY的SSL憑證是可以被掃描出來的。