<div dir="ltr"><div>easy-rsa is very good for the openvpn use case.    The default setup is all about creating certs with a CN, but (not really documented except in the config file) there is a "org mode" where you can provide the other subject fields (state, city, country, ...).  It doesn't really support doing SANs at all that I was able to see.  I'm referring here to easy-rsa v3, the older v2 was dramatically different, might have supported more of this sort of use.  v3 is really oriented towards openvpn, not surprising from it's github URL, eh?  :-)</div><div><br></div><div>There are a few other options as well:</div><div><br></div><div>- HashiCorp Vault can do PKI management</div><div>- CloudFlare cfssl (includes an HTTP API server)</div><div>- XCA (a Win/Mac desktop app)<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jun 16, 2022 at 3:22 PM Stephen Warren <<a href="mailto:swarren@wwwdotorg.org">swarren@wwwdotorg.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 6/11/22 11:18, Sean Reifschneider wrote:<br>
> At work we use self-signed certificates for internal and developer use.  <br>
> I inherited some scripts that wrapped the openssl CLI but weren't <br>
> supporting new uses like the prevalence of Subject Alternatives Names.<br>
> <br>
> So I reimagined it and have published what I have so far here: <br>
> <a href="https://github.com/linsomniac/rgca" rel="noreferrer" target="_blank">https://github.com/linsomniac/rgca</a> <<a href="https://github.com/linsomniac/rgca" rel="noreferrer" target="_blank">https://github.com/linsomniac/rgca</a>><br>
...<br>
> Looking for feedback on the direction this is going in.<br>
<br>
I've always used easy-rsa for this. Does it support your use-case? It's <br>
possible it would benefit from some wrapper scripts to provide common <br>
options or make the interface friendlier, and I haven't used SANs with <br>
it, since I switched to Letsencrypt before needing SANs.<br>
<br>
<a href="https://github.com/OpenVPN/easy-rsa" rel="noreferrer" target="_blank">https://github.com/OpenVPN/easy-rsa</a><br>
</blockquote></div>