问题[subject-alternative-names](server)

我的公司拥有https://data.ddl.at的证书，其中包括gitlab.ddl.at. 这个 Gitlab-Server 是内部的，域名只由我们内部的 DNS-Server 解析。作为参考，还有 SAN https://sicher.ddl.at，它是公开的，在浏览器中有效。

我已经在 Gitlab-Server 上配置了这个证书，当我去 时gitlab.ddl.at，证书被浏览器验证并被认为是有效的。

一旦我尝试使用 Gitlab-Runner，就会出现问题。我在另一台机器上安装并注册了一个，一开始遇到一些问题后，我让它连接到主实例，但作业仍然无法签出子模块，运行程序正在获取server certificate verification failed.

现在在这里我认为是问题的根本症状：如果我运行openssl s_client -connect data.ddl.at:443，我会得到：

CONNECTED(00000005)
depth=2 OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
verify return:1
depth=0 businessCategory = Private Organization, serialNumber = FN 374566h, jurisdictionC = AT, jurisdictionL = Wels, jurisdictionST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Str. 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
verify return:1
---
Certificate chain
 0 s:businessCategory = Private Organization, serialNumber = FN 374566h, jurisdictionC = AT, jurisdictionL = Wels, jurisdictionST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Str. 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
   i:C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
 1 s:C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
   i:OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
---
Server certificate
[...]

最后：Verify return code: 0 (ok)

现在，当我运行时openssl s_client -connect gitlab.ddl.at:443，我得到：

CONNECTED(00000005)
depth=0 businessCategory = Private Organization, serialNumber = 374566h, jurisdictionC = AT, jurisdictionL = Wels, jurisdictionST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Stra\C3\9Fe 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 businessCategory = Private Organization, serialNumber = 374566h, jurisdictionC = AT, jurisdictionL = Wels, jurisdictionST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Stra\C3\9Fe 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:businessCategory = Private Organization, serialNumber = 374566h, jurisdictionC = AT, jurisdictionL = Wels, jurisdictionST = Oberoesterreich, C = AT, ST = Oberoesterreich, L = Ruestorf, street = Erwin Greiner-Stra\C3\9Fe 4, OU = GIS, O = DDL GmbH, CN = data.ddl.at
   i:C = BE, O = GlobalSign nv-sa, CN = GlobalSign Extended Validation CA - SHA256 - G3
---
Server certificate
[...]

第一个错误是unable to get local issuer certificate.

我也尝试过使用可公开访问sicher.ddl.at的 ，但错误与gitlab.ddl.at.

它获得的证书是 for data.ddl.at，但它具有 SAN gitlab.ddl.at，这不应该使它有效吗？我究竟做错了什么？

我们正在运行具有多个 SMTP 域的 Exchange 2010 环境，我们也为其配置了自动发现。

现在我们发现一些自动发现地址没有作为 SAN 添加到证书中，在用户配置配置文件时会发出警告。

是否可以向现有证书添加更多 SAN/DNS 名称，如果可以，我该怎么做？

有人可以以简化的方式向我解释这些证书之间的区别吗？我读了一些文章，但听起来他们做的是同样的工作，即用一个证书加密许多域。

我根据此规范创建了自己的证书颁发机构和服务器（虚拟主机）证书：https ://jamielinux.com/docs/openssl-certificate-authority/index.html

它已成功创建，可以正常工作，但是如果没有“www”前缀，服务器证书将无法正常工作。

如果我加载没有“www”的域，则会出现错误：

SSL_ERROR_BAD_CERT_DOMAIN

我查了好几页，选项会有（SAN - Subject Alternative Names），只是不知道如何插入上面的配置。

如何在使用 OpenSSL 签署证书请求时添加主题备用名称（如果重要，在 Windows 中）？

我已经从 IIS 接口生成了一个基本的证书签名请求 (CSR)。现在，我想添加几个主题备用名称，使用现有的根证书对其进行签名，然后返回证书以完成签名请求。

我能找到的每个教程都涉及生成一个新的私钥和一个全新的 CSR，但是我的印象是私钥驻留在请求计算机上（我不一定有权访问）。我只想在添加备用名称时签署请求。我对 OpenSSL 和 CA 主题比较陌生，所以这可能是我的误解。