Lanmen

Rendszergazda szolgáltatás, webáruház készítés, Office 365. Informatikai szolgáltatás kis és középvállalatoknak.

Most itt vagy: Főoldal / Egyéb / SAN SSL tanúsítvány igénylése

| Szerző:

Mióta a Google szereti ha egy oldal titkosított csatornán érhető el, kiemelt üzleti érdek lett minden weboldal esetén az SSL tanúsítványok használata. Bizonyos esetekben a költségkímélés hatásos eszköze lehet a wildcard vagy a SAN (Subject AlternativeNames) tanúsítványok használata. Ezen típusú tanítványok segítségével több oldal üzemeltethető egyetlen tanúsítvány használatával.

Wildcard tanúsítvány esetén bármennyi nevet használhatunk, de csak egy adott domain alatt. Példák: www.valami.hu, valami.hu, webshop.valami.hu, blog.valami.hu

SAN tanúsítvány esetén 25 egyedi domain név konfigurálható, tehát 25 teljesen egyedi oldalhoz használható egy tanúsítvány. Természetesen itt figyelni kell arra, hogy a tanúsítvány a tulajdonos is azonosítja. Mondhatjuk, hogy nem szerencsés, ha a domainoknak különböző tulajdonosaik vannak. Bizonyos szolgáltatók ílyen esetben nem is állítják ki a tanúsítványt.

Hogyan lehet igényelni SAN tanúsítványt?

A folyamat csak kicsit tér el a szokásostól (openssl program használatával):

Első lépés az openssl.conf fájl módosítása vagy létrehozása, nagyjából a következőképpen:

[req] distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name] C = HU
ST = Budapest
L = Budapest
O = Cegnev
OU = Reszleg
CN = domainnevem.hu
[v3_req] keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names] DNS.1 = www.elsodomain.hu
DNS.2 = elsodomain.hu
DNS.3 = masodikdomain.hu
DNS.4 = harmadikdomain.hu
stb.
VAGY/ÉS:

IP.1 = 192.168.1.1
IP.2 = 192.168.4.1

Privat kulcs generálás
Ezt el kell küldeni a tanúsítvány kibocsátónak
openssl genrsa -out san_domain_hu.key 2048

Kérés generálás
Ezt is el kell küldeni a tanúsítvány kibocsátónak
openssl req -new -out san_domain_hu.csr -key san_domain_hu.key -config openssl.cnf

Teszt (mert az hasznos)
openssl req -text -noout -in san_domain_hu.csr

Ez követően kapunk egy san_domain_hu.crt file-t a tanúsítványszolgáltatótól!
A .key a mi privát kulcsunk, a .csr az igénylés. (ezek már eleve megvannak ugye)
Ezen a ponton a tanúsítvány már használható is.

 

Ha saját magunk által aláírt tanúsítvány szeretnénk készíteni (tesztelésre pl.) akkor a .crt fájl nekünk kell előállítani a következő módon.

Aláírás
openssl x509 -req -days 3650 -in san_domain_hu.csr -signkey san_domain_hu.key -out san_domain_hu.crt -extensions v3_req -extfile openssl.conf
Ezzel elkészült a 10 évig érvényes teszt tanúsítvány. Használatra kész.

Konvertálás (linux webszerver esetén ez nem szükséges)
openssl pkcs12 -export -in san_domain_hu.crt -inkey san_domain_hu.key -out san_domain_hu.p12