Mióta a Google szereti ha egy oldal titkosított csatornán érhető el, kiemelt üzleti érdek lett minden weboldal esetén az SSL tanúsítványok használata. Bizonyos esetekben a költségkímélés hatásos eszköze lehet a wildcard vagy a SAN (Subject AlternativeNames) tanúsítványok használata. Ezen típusú tanítványok segítségével több oldal üzemeltethető egyetlen tanúsítvány használatával.
Wildcard tanúsítvány esetén bármennyi nevet használhatunk, de csak egy adott domain alatt. Példák: www.valami.hu, valami.hu, webshop.valami.hu, blog.valami.hu
SAN tanúsítvány esetén 25 egyedi domain név konfigurálható, tehát 25 teljesen egyedi oldalhoz használható egy tanúsítvány. Természetesen itt figyelni kell arra, hogy a tanúsítvány a tulajdonos is azonosítja. Mondhatjuk, hogy nem szerencsés, ha a domainoknak különböző tulajdonosaik vannak. Bizonyos szolgáltatók ílyen esetben nem is állítják ki a tanúsítványt.
Hogyan lehet igényelni SAN tanúsítványt?
A folyamat csak kicsit tér el a szokásostól (openssl program használatával):
Első lépés az openssl.conf fájl módosítása vagy létrehozása, nagyjából a következőképpen:
[req] distinguished_name = req_distinguished_namereq_extensions = v3_req
prompt = no
[req_distinguished_name] C = HU
ST = Budapest
L = Budapest
O = Cegnev
OU = Reszleg
CN = domainnevem.hu
[v3_req] keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names] DNS.1 = www.elsodomain.hu
DNS.2 = elsodomain.hu
DNS.3 = masodikdomain.hu
DNS.4 = harmadikdomain.hu
stb.
VAGY/ÉS:
IP.1 = 192.168.1.1
IP.2 = 192.168.4.1
Privat kulcs generálás
Ezt el kell küldeni a tanúsítvány kibocsátónak
openssl genrsa -out san_domain_hu.key 2048
Kérés generálás
Ezt is el kell küldeni a tanúsítvány kibocsátónak
openssl req -new -out san_domain_hu.csr -key san_domain_hu.key -config openssl.cnf
Teszt (mert az hasznos)
openssl req -text -noout -in san_domain_hu.csr
Ez követően kapunk egy san_domain_hu.crt file-t a tanúsítványszolgáltatótól!
A .key a mi privát kulcsunk, a .csr az igénylés. (ezek már eleve megvannak ugye)
Ezen a ponton a tanúsítvány már használható is.
Ha saját magunk által aláírt tanúsítvány szeretnénk készíteni (tesztelésre pl.) akkor a .crt fájl nekünk kell előállítani a következő módon.
Aláírás
openssl x509 -req -days 3650 -in san_domain_hu.csr -signkey san_domain_hu.key -out san_domain_hu.crt -extensions v3_req -extfile openssl.conf
Ezzel elkészült a 10 évig érvényes teszt tanúsítvány. Használatra kész.
Konvertálás (linux webszerver esetén ez nem szükséges)
openssl pkcs12 -export -in san_domain_hu.crt -inkey san_domain_hu.key -out san_domain_hu.p12