Geekflare
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad  |  Última actualización: 24 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Conozca el certificado SAN y cómo crearlo con OpenSSL

Por
zerossl apache nginx

Reduzca el coste y el mantenimiento de SSL utilizando un único certificado para varios sitios web mediante el certificado SAN

SAN son las siglas de “Subject Alternative Names” (Nombres alternativos de sujeto) y esto le ayuda a tener un único certificado para múltiples CN (Common Name).

Puede que esté pensando que esto es SSL comodín pero déjeme decirle que es ligeramente diferente. En el certificado SAN, puede tener múltiples CN completos.

Ejemplo

  • geekflare.com
  • gf.dev
  • siterelic.com
  • chandan.io

Puedo tener todo lo anterior y mucho más en un solo certificado. Esto significa que sólo tengo que comprar un cert y utilizarlo en múltiples URLs

¿Le parece interesante?

La creación de CSR para SAN es ligeramente diferente al comando tradicional de OpenSSL y explicaremos en un momento cómo generar CSR para certificado SSL de Subject Alternative Names

Veamos un ejemplo en tiempo real de skype.com, que tiene muchos SAN en un solo certificado

skype-san

Como puede ver en el ejemplo anterior, si está gestionando varias URL https, puede considerar la posibilidad de consolidarlas en un único certificado SSL con SAN y ahorrarse miles de dólares.

¿Qué opina al respecto?

Procedimiento para crear CSR con SAN

  • Inicie sesión en un servidor donde tenga instalado OpenSSL
  • Vaya a /tmp o cree cualquier directorio
  • Cree un archivo llamado san.cnf utilizando vi (si está en Unix) con la siguiente información
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
countryName = Nombre del país (código de 2 letras)
stateOrProvinceName = Nombre del estado o provincia (nombre completo)
localityName = Nombre de la localidad (p. ej., ciudad)
organizationName = Nombre de la organización (p. ej., empresa)
commonName = Nombre común (e.ej. FQDN del servidor o SU nombre)
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1

= 

 bestflare.com
DNS.2  = usefulread.com
DNS.3  = chandank.com

Nota: la sección alt_names es la que tiene que cambiar para los DNS adicionales

  • Guarde el archivo y ejecute el siguiente comando OpenSSL, que generará el archivo CSR y KEY
openssl req -out sslcert.csr -newkey rsa:2048 -nodes -keyout private.key -config san.cnf

Esto creará sslcert .c sr y private . key en el directorio de trabajo actual. Tiene que enviar sslcert.csr a la autoridad firmante del certificado para que puedan proporcionarle un certificado con SAN

¿Cómo verificar CSR para SAN?

Será una buena idea comprobar si su CSR contiene el SAN, que especificó anteriormente en el archivo san.cnf 

openssl req -noout -text -in sslcert.csr | grep DNS

Ej

[root@Chandan prueba]# openssl req -noout -text -in sslcert.csr | grep DNS
 DNS:bestflare.com, DNS:usefulread.com, DNS:chandank.com
[root@Chandan prueba]#

Una vez que esté satisfecho con la CSR, puede enviarla a su autoridad de certificación para que firme el certificado. También puede comprarlo en SSL Store.

  • Chandan Kumar
    Autor
    Chandan Kumar es el fundador de Geekflare. Ha ayudado a millones de personas a destacar en el ámbito digital. Apasionado de la tecnología, su misión es explorar el mundo y ampliar el crecimiento de profesionales y empresas.
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder