编程

看看OpenSSL附带的demos/x509/mkreq.c文件。 它会创建一个请求并添加一个电子邮件地址作为替代名称。 剥下来它做了以下事情：

 exts = sk_X509_EXTENSION_new_null(); add_ext(exts, NID_subject_alt_name, "email:steve@openssl.org"); X509_REQ_add_extensions(x, exts); sk_X509_EXTENSION_pop_free(exts, X509_EXTENSION_free); 

add_ext的实现方式如下：

 int add_ext(STACK_OF(X509_EXTENSION) *sk, int nid, char *value) { X509_EXTENSION *ex; ex = X509V3_EXT_conf_nid(NULL, NULL, nid, value); if (!ex) return 0; sk_X509_EXTENSION_push(sk, ex); return 1; } 

从命令行

虽然OP要求API，但我将此部分留给其他人使用。

https://wiki.cacert.org/FAQ/subjectAltName建议将openssl.cnf文件复制到临时的openssl-san.cnf文件，然后编辑如下：

 [req] req_extensions = v3_req [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = host1.yourdomain.tld DNS.2 = host2.yourdomain.tld