Minha solução:

openssl req \
    -newkey rsa:2048 \
    -x509 \
    -nodes \
    -keyout server.key \
    -new \
    -out server.crt \
    -subj /CN=dev.mycompany.com \
    -reqexts SAN \
    -extensions SAN \
    -config <(cat /System/Library/OpenSSL/openssl.cnf \
        <(printf '[SAN]\nsubjectAltName=DNS:dev.mycompany.com')) \
    -sha256 \
    -days 3650

Estado: Funciona para mim

Aqui está uma solução que funciona para mim:

Criar chave CA e certificado

# openssl genrsa -out server_rootCA.key 2048
# openssl req -x509 -new -nodes -key server_rootCA.key -sha256 -days 3650 -out server_rootCA.pem

Criar server_rootCA.csr.cnf

# server_rootCA.csr.cnf
[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[dn]
C=DE
ST=Berlin
L=NeuKoelln
O=Weisestrasse
OU=local_RootCA
[email protected]
CN = server.berlin

Criar arquivo de configuração v3.ext

# v3.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = server.berlin

Criar chave do servidor

# openssl req -new -sha256 -nodes -out server.csr -newkey rsa:2048 -keyout server.key -config <( cat server_rootCA.csr.cnf )

Criar certificado de servidor

# openssl x509 -req -in server.csr -CA server_rootCA.pem -CAkey server_rootCA.key -CAcreateserial -out server.crt -days 3650 -sha256 -extfile v3.ext

Adicionar certificado e chave ao arquivo do site Apache2, seção HTTPS (porta 443)

SSLCertificateFile    /etc/apache2/ssl/server.crt
SSLCertificateKeyFile    /etc/apache2/ssl/server.key

Copie server_rootCA.pem do servidor para sua máquina.

# scp [email protected]:~/server_rootCA.pem .

.. e adicione-o ao navegador Chromium

Chromium -> Setting -> (Advanced) Manage Certificates -> Import -> 'server_rootCA.pem'

VOCÊ ESTÁ TERMINADO!

PS Em vez de criar um par funcional de certificado de CA e servidor (conforme as instruções acima), você pode simplesmente desativar os cabeçalhos HSTS na configuração do servidor HTTP. Isso impedirá que o Chromium imponha HTTPS e permitirá que os usuários cliquem em “Avançado → prosseguir para seu.url (inseguro)” sem precisar obter e instalar seu certificado CA personalizado (server_rootCA.pem). Em outras palavras - ter que desabilitar o HSTS permitirá que seu site seja visualizado publicamente por HTTP e/ou conexão HTTPS insegura (cuidado!).

Para Apache2, adicione o seguinte ao arquivo do site, seção HTTP (porta 80)

Header unset Strict-Transport-Security
Header always set Strict-Transport-Security "max-age=0;includeSubDomains"

Testado em Debian/Apache2.4 + Debian/Chromium 59

https://ram.k0a1a.net/self-signed_https_cert_after_chrome_58

No Windows, salve este script em sua pasta SSL como makeCERT.bat. Ele criará estes arquivos: example.cnf, example.crt, example.key

@echo off

REM IN YOUR SSL FOLDER, SAVE THIS FILE AS: makeCERT.bat
REM AT COMMAND LINE IN YOUR SSL FOLDER, RUN: makecert
REM IT WILL CREATE THESE FILES: example.cnf, example.crt, example.key
REM IMPORT THE .crt FILE INTO CHROME Trusted Root Certification Authorities
REM REMEMBER TO RESTART APACHE OR NGINX AFTER YOU CONFIGURE FOR THESE FILES

REM PLEASE UPDATE THE FOLLOWING VARIABLES FOR YOUR NEEDS.
SET HOSTNAME=example
SET DOT=com
SET COUNTRY=US
SET STATE=KS
SET CITY=Olathe
SET ORGANIZATION=IT
SET ORGANIZATION_UNIT=IT Department
SET EMAIL=webmaster@%HOSTNAME%.%DOT%

(
echo [req]
echo default_bits = 2048
echo prompt = no
echo default_md = sha256
echo x509_extensions = v3_req
echo distinguished_name = dn
echo:
echo [dn]
echo C = %COUNTRY%
echo ST = %STATE%
echo L = %CITY%
echo O = %ORGANIZATION%
echo OU = %ORGANIZATION_UNIT%
echo emailAddress = %EMAIL%
echo CN = %HOSTNAME%.%DOT%
echo:
echo [v3_req]
echo subjectAltName = @alt_names
echo:
echo [alt_names]
echo DNS.1 = *.%HOSTNAME%.%DOT%
echo DNS.2 = %HOSTNAME%.%DOT%
)>%HOSTNAME%.cnf

openssl req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout %HOSTNAME%.key -days 3560 -out %HOSTNAME%.crt -config %HOSTNAME%.cnf

Existem várias ótimas respostas que fornecem exemplos de como fazer isso funcionar, mas nenhuma que explique onde as coisas deram errado em sua tentativa. O OpenSSL pode ser bastante não intuitivo algumas vezes, então vale a pena dar uma olhada.

Primeiro, como um aparte, o padrão do OpenSSL é ignorar qualquer valor de nome distinto que você forneça no arquivo config. Se você quiser usá-los, você deve adicionar prompt = no à sua configuração. Além disso, o comando conforme escrito gera apenas uma solicitação de certificado , não um certificado em si, portanto, o -dayscomando não faz nada.

Se você gerar sua solicitação de certificado usando este comando que você deu e inspecionar o resultado, o Subject Alt Name estará presente:

$ openssl req -new -key server.key -out server.csr -config config.cnf -sha256
$ openssl req -text -noout -in server.csr
Certificate Request:
    Data:
        Version: 1 (0x0)
        Subject: C = US, ST = Massachusetts, L = Boston, O = MyCompany
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    ...
                Exponent: 65537 (0x10001)
        Attributes:
        Requested Extensions:
            X509v3 Subject Alternative Name:
                DNS:dev.mycompany.com
    Signature Algorithm: sha256WithRSAEncryption
         ...

Mas, se você gerar o certificado usando o comando no link heroku e inspecionar o resultado, o nome alternativo do assunto estará ausente:

$ openssl x509 -req -sha256 -days 365 -in server.csr -signkey server.key -out server.crt
$ openssl x509 -text -noout -in server.crt
Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
            89:fd:75:26:43:08:04:61
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = Massachusetts, L = Boston, O = MyCompany
        Validity
            Not Before: Jan 21 04:27:21 2018 GMT
            Not After : Jan 21 04:27:21 2019 GMT
        Subject: C = US, ST = Massachusetts, L = Boston, O = MyCompany
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    ...
                Exponent: 65537 (0x10001)
    Signature Algorithm: sha256WithRSAEncryption
         ...

A razão é que, por padrão, o OpenSSL não copia extensões da solicitação para o certificado. Normalmente, o certificado seria criado/assinado por uma CA com base em uma solicitação de um cliente, e algumas extensões poderiam conceder ao certificado mais poder do que a CA pretendia se confiassem cegamente nas extensões definidas na solicitação.

Existem maneiras de dizer ao OpenSSL para copiar as extensões, mas IMHO é mais trabalhoso do que apenas fornecer as extensões em um arquivo de configuração ao gerar o certificado.

Se você tentar usar seu arquivo de configuração existente, não funcionará porque a seção de nível superior está marcada [req]para que essas configurações se apliquem apenas ao comando req, não ao comando x509. Não é necessário ter um marcador de seção de nível superior, portanto, basta remover a primeira linha e funcionará bem para gerar solicitações ou certificados.

$ openssl x509 -req -sha256 -days 365 -in server.csr -signkey server.key -out server.crt -extfile config.cnf

Como alternativa, você pode usar o -x509argumento para o reqcomando para gerar um certificado autoassinado em um único comando, em vez de primeiro criar uma solicitação e depois um certificado. Neste caso não é necessário remover a [req]linha da seção, pois essa seção é lida e utilizada pelo comando req.

$ openssl req -x509 -sha256 -days 365 -key server.key -out server.crt -config config.cnf

Para recapitular, aqui está o arquivo de configuração modificado usado nos comandos acima:

default_bits        = 2048
distinguished_name  = dn
x509_extensions     = san
req_extensions      = san
extensions          = san
prompt              = no
[ dn ]
countryName         = US
stateOrProvinceName = Massachusetts
localityName        = Boston
organizationName    = MyCompany
[ san ]
subjectAltName      = DNS:dev.mycompany.com

Script Bash com configuração incorporada

Como um script de shell que deve funcionar em plataformas com o bash. Assume HOSTNAMEenv definido para o shell ou fornece um nome de host de sua escolha, por exemploself_signed_cert.sh test

set -e

if [ -z "$1" ]; then
  hostname="$HOSTNAME"
else
  hostname="$1"
fi
    
local_openssl_config="
[ req ]
prompt = no
distinguished_name = req_distinguished_name
x509_extensions = san_self_signed
[ req_distinguished_name ]
CN=$hostname
[ san_self_signed ]
subjectAltName = DNS:$hostname, DNS:localhost, IP:127.0.0.1, IP:::1
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = CA:true
keyUsage = nonRepudiation, digitalSignature, keyEncipherment, dataEncipherment, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth, timeStamping
"
    
openssl req \
  -newkey rsa:2048 -nodes \
  -keyout "$hostname.key.pem" \
  -x509 -sha256 -days 3650 \
  -config <(echo "$local_openssl_config") \
  -out "$hostname.cert.pem"
openssl x509 -noout -text -in "$hostname.cert.pem"

O acima mais ou menos injeta as informações mínimas do arquivo de configuração que o openssl precisa.

Observação, incluído extra DNS:localhostcomo SAN para permitir testes via localhost com mais facilidade. Remova esse bit extra do script se não quiser.

Crédito

A resposta de bcardarella é ótima (não pode comentar/votar devido a representante insuficiente). No entanto, a resposta usa um local de arquivo de configuração openssl existente que é específico da plataforma ... portanto:

Funciona para mim

Obviamente, bastaria encontrar o arquivo de configuração openssl para sua própria plataforma e substituí-lo pelo local correto.

Teste

Para uma maneira de testar, importe test.cert.pempara as autoridades do Chrome em chrome://settings/certificatese:

openssl s_server -key test.key.pem -cert test.cert.pem -accept 20443 -www &
openssl_pid=$!
google-chrome "https://localhost:20443"
google-chrome "https://127.0.0.1:20443"
google-chrome "https://[::1]:20443"

E depois de testar

kill $openssl_pid

Minha solução é manter o principal openssl.cnfcomo está e apenas no final adicionar uma nova seção como [ cert_www.example.com ]onde www.example.com é o site para o qual desejo criar um certificado e, nele, colocar o subjectAltNameque eu precisaria (e algo mais). Claro que a seção pode ter o nome que você quiser.

Depois disso, posso executar o openssl reqcomando como antes, apenas adicionando -extensions cert_www.example.compara que seu conteúdo seja pego e adiciono -subjpara adicionar diretamente todas as informações do DN.

Não se esqueça de verificar o conteúdo do certificado após a sua criação e antes da sua utilização, comopenssl x509 -text