Quindi sono stato in grado di creare una richiesta di firma del certificato con un nome alternativo soggetto del modulo subjectAltName=IP:1.2.3.4 seguendo la ricetta in una precedente (splendida) risposta.
Quando ispeziono quel CSR con openssl req -in key.csr -text , posso vedere una sezione corrispondente:
Requested Extensions:
X509v3 Subject Alternative Name:
IP Address:1.2.3.4
Quindi procedo a firmare il CSR con una chiave autofirmata in questo modo:
openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -CAcreateserial \
-in key.csr -out key.crt
Il certificato risultante (quando ispezionato con openssl x509 -in key.crt -text ) non identifica più quella sezione.
Questo è solo un artefatto di parametri di visualizzazione o devo anche indicare openssl x509 che dovrebbe includere l'estensione quando fa la sua firma (e se sì, come)?
Sto usando OpenSSL su macOS High Sierra ( openssl version segnala LibreSSL 2.2.7 ) e non ho cambiato la sua configurazione dai valori predefiniti. Le chiavi verranno infine utilizzate tra i server Debian (Stretch), quindi potrei eseguire la generazione delle chiavi lì, se aiuta in questo contesto.