Contexto
O Nginx usa os mesmos formatos PEM do Apache. A geração do CSR é idêntica (OpenSSL). Aqui focamos em organização e SAN.
Estrutura recomendada
/etc/nginx/ssl/exemplo.com.br/ ├─ exemplo.com.br.key ├─ exemplo.com.br.csr ├─ exemplo.com.br.crt └─ exemplo.com.br.ca-bundle.crt
Geração com SAN
cat > /etc/nginx/ssl/exemplo.com.br/openssl-san.cnf <<EOF [ req ] default_bits = 2048 prompt = no default_md = sha256 req_extensions = req_ext distinguished_name = dn [ dn ] C = BR ST = MG L = Belo Horizonte O = Exemplo Tecnologia LTDA OU = TI CN = exemplo.com.br emailAddress = admin@exemplo.com.br [ req_ext ] subjectAltName = @alt_names [ alt_names ] DNS.1 = exemplo.com.br DNS.2 = www.exemplo.com.br EOF openssl req -new -newkey rsa:2048 -nodes -keyout /etc/nginx/ssl/exemplo.com.br/exemplo.com.br.key -out /etc/nginx/ssl/exemplo.com.br/exemplo.com.br.csr -config /etc/nginx/ssl/exemplo.com.br/openssl-san.cnf
Verificar CSR
openssl req -in /etc/nginx/ssl/exemplo.com.br/exemplo.com.br.csr -noout -text
Envio
Envie o CSR pelo SAC. Após a Comodo emitir, você receberá CRT e CA Bundle.