Reduzca el coste y el mantenimiento de SSL utilizando un único certificado para varios sitios web mediante el certificado SAN

SAN son las siglas de «Subject Alternative Names» (Nombres alternativos de sujeto) y esto le ayuda a tener un único certificado para múltiples CN (Common Name).

Puede que esté pensando que esto es SSL comodín pero déjeme decirle que es ligeramente diferente. En el certificado SAN, puede tener múltiples CN completos.

Ejemplo:

  • geekflare.com/es
  • gf.dev
  • siterelic.com
  • chandan.io

Puedo tener todo lo anterior y mucho más en un solo certificado. Esto significa que sólo tengo que comprar un cert y utilizarlo en múltiples URLs.

¿Le parece interesante?

La creación de CSR para SAN es ligeramente diferente al comando tradicional de OpenSSL y explicaremos en un momento cómo generar CSR para certificado SSL de Subject Alternative Names.

Veamos un ejemplo en tiempo real de skype.com, que tiene muchos SAN en un solo certificado.

skype-san

Como puede ver en el ejemplo anterior, si gestiona varias URL https, puede considerar la posibilidad de consolidarlas en un único certificado SSL con SAN y ahorrar miles de dólares.

¿Qué opina al respecto?

Procedimiento para crear una RSE con SAN

  • Inicie sesión en un servidor donde tenga instalado OpenSSL
  • Vaya a /tmp o cree cualquier directorio
  • Cree un archivo llamado san.cnf utilizando vi (si está en Unix) con la siguiente información
[ req]
default_bits = 2048
nombre_distinguido = req_nombre_distinguido
req_extensiones = req_ext
[ req_nombre_distinguido ]
countryName = Nombre del país (código de 2 letras)
stateOrProvinceName = Nombre del estado o provincia (nombre completo)
localityName = Nombre de la localidad (p. ej., ciudad)
organizationName = Nombre de la organización (p. ej., empresa)
commonName = Nombre común (p. ej., FQDN del servidor o SU nombre)
[req_ext]
subjectAltName = @alt_names
[alt_names]
DNS.1 = bestflare.com
DNS.  2 = usefulread.com
DNS.  3 = chandank.com

Nota: la sección alt_names es la que tiene que cambiar para los DNS adicionales.

  • Guarde el archivo y ejecute el siguiente comando OpenSSL, que generará el archivo CSR y KEY
openssl req -out sslcert.csr -newkey rsa:2048 -nodes -keyout private.key -config san.cnf

Esto creará sslcert .c sr y private . key en el directorio de trabajo actual. Tiene que enviar sslcert.csr a la autoridad de certificación para que le proporcione un certificado con SAN.

¿Cómo verificar CSR para SAN?

Será una buena idea comprobar si su CSR contiene el SAN, que especificó anteriormente en el archivo san.cnf.

openssl req -noout -text -in sslcert.csr | grep DNS

Ej:

[root@Chandan prueba]# openssl req -noout -text -in sslcert.csr | grep DNS
              DNS:bestflare.com, DNS:usefulread.com, DNS:chandank.com
[root@Chandan prueba]#

Una vez que esté satisfecho con la CSR, puede enviarla a su autoridad de certificación para que firme el certificado. También puede comprarlo en SSL Store.