Conozca el certificado SAN y cómo crearlo con OpenSSL

Reduzca el coste y el mantenimiento de SSL utilizando un único certificado para varios sitios web mediante el certificado SAN

SAN son las siglas de «Subject Alternative Names» (Nombres alternativos de sujeto) y esto le ayuda a tener un único certificado para múltiples CN (Common Name).

Puede que esté pensando que esto es SSL comodín pero déjeme decirle que es ligeramente diferente. En el certificado SAN, puede tener múltiples CN completos.

Ejemplo:

geekflare.com/es
gf.dev
siterelic.com
chandan.io

Puedo tener todo lo anterior y mucho más en un solo certificado. Esto significa que sólo tengo que comprar un cert y utilizarlo en múltiples URLs.

¿Le parece interesante?

La creación de CSR para SAN es ligeramente diferente al comando tradicional de OpenSSL y explicaremos en un momento cómo generar CSR para certificado SSL de Subject Alternative Names.

Veamos un ejemplo en tiempo real de skype.com, que tiene muchos SAN en un solo certificado.

Como puede ver en el ejemplo anterior, si gestiona varias URL https, puede considerar la posibilidad de consolidarlas en un único certificado SSL con SAN y ahorrar miles de dólares.

¿Qué opina al respecto?

Procedimiento para crear una RSE con SAN

Inicie sesión en un servidor donde tenga instalado OpenSSL
Vaya a /tmp o cree cualquier directorio
Cree un archivo llamado san.cnf utilizando vi (si está en Unix) con la siguiente información

[ req]
default_bits = 2048
nombre_distinguido = req_nombre_distinguido
req_extensiones = req_ext
[ req_nombre_distinguido ]
countryName = Nombre del país (código de 2 letras)
stateOrProvinceName = Nombre del estado o provincia (nombre completo)
localityName = Nombre de la localidad (p. ej., ciudad)
organizationName = Nombre de la organización (p. ej., empresa)
commonName = Nombre común (p. ej., FQDN del servidor o SU nombre)
[req_ext]
subjectAltName = @alt_names
[alt_names]
DNS.1 = bestflare.com
DNS.  2 = usefulread.com
DNS.  3 = chandank.com

Nota: la sección alt_names es la que tiene que cambiar para los DNS adicionales.

Guarde el archivo y ejecute el siguiente comando OpenSSL, que generará el archivo CSR y KEY

openssl req -out sslcert.csr -newkey rsa:2048 -nodes -keyout private.key -config san.cnf

Esto creará sslcert .c sr y private . key en el directorio de trabajo actual. Tiene que enviar sslcert.csr a la autoridad de certificación para que le proporcione un certificado con SAN.

¿Cómo verificar CSR para SAN?

Será una buena idea comprobar si su CSR contiene el SAN, que especificó anteriormente en el archivo san.cnf.

openssl req -noout -text -in sslcert.csr | grep DNS

Ej:

[root@Chandan prueba]# openssl req -noout -text -in sslcert.csr | grep DNS
              DNS:bestflare.com, DNS:usefulread.com, DNS:chandank.com
[root@Chandan prueba]#

Una vez que esté satisfecho con la CSR, puede enviarla a su autoridad de certificación para que firme el certificado. También puede comprarlo en SSL Store.

Chandan Kumar
Colaborador
- LinkedIn
Chandan Kumar is a technology enthusiast and entrepreneur who is passionate about helping businesses and individuals around the world. As the founder of Geekflare, Chandan has created valuable content and resources for businesses and individuals around the world.

Chandan’s expertise spans many technological domains, including cybersecurity, cloud computing, artificial intelligence, IT infrastructure, and DevOps. His insights and advice have helped organizations like BNP Paribas, Citibank, Deutsche Bank, Motorola navigate the ever-evolving digital landscape and achieve their strategic goals.

Beyond his technical prowess, Chandan believes strongly in the importance of education and knowledge sharing. His dedication to technology and education has earned him recognition as a thought leader in the industry. He wants to travel the world and help professionals and businesses grow.

Expertise: Business Growth, Business Software, Digital Growth, Cybersecurity, Artificial Intelligence, IT Infrastructure
Education: MBA in International Business from Arcadia University