Réduisez les coûts et la maintenance de SSL en utilisant un seul certificat pour plusieurs sites web à l'aide d'un certificat SAN.
SAN signifie "Nom alternatif du sujet"et vous permet d'avoir un seul certificat pour plusieurs CN (Common Name).
Vous pensez peut-être qu'il s'agit d'un Caractère générique SSLmais laissez-moi vous dire que c'est légèrement différent. Dans le certificat SAN, vous pouvez avoir plusieurs CN complets.
Exemple
- geekflare.com
- gf.dev
- siterelic.com
- chandan.io
Je peux avoir tout cela et bien plus encore avec un seul certificat. Cela signifie que je n'ai qu'à acheter un seul certificat et à l'utiliser pour plusieurs URL
Cela vous semble intéressant ?
La création d'un CSR pour SAN est légèrement différente de la commande OpenSSL traditionnelle et nous vous expliquerons dans un instant comment générer un CSR pour un certificat SSL Subject Alternative Names
Examinons l'exemple en temps réel de skype.com, qui possède plusieurs SAN dans un seul certificat
Comme vous pouvez le voir dans l'exemple ci-dessus, si vous gérez plusieurs URL https, vous pouvez envisager de les consolider en un seul certificat SSL avec SAN et économiser ainsi des milliers d'euros.
Qu'en pensez-vous ?
Procédure de création d'une CSR avec SAN
- Connectez-vous à un serveur sur lequel OpenSSL est installé
- Allez dans /tmp ou créez n'importe quel répertoire
- Créez un fichier nommé san.cnf à l'aide de vi (si vous êtes sous Unix) avec les informations suivantes
[req ] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = req_ext [req_distinguished_name ] countryName = Nom du pays (code de 2 lettres) stateOrProvinceName = Nom de l'État ou de la province (nom complet) localityName = Nom de la localité (p. ex., ville) organizationName = Nom de l'organisation (p. ex., entreprise) commonName = Nom commun (p. ex.fQDN du serveur ou VOTRE nom) [req_ext ] subjectAltName = @alt_names [alt_names] DNS.1 = bestflare.com DNS.2 = usefulread.com DNS.3 = chandank.com
Remarque : la section alt_names est celle que vous devez modifier pour les DNS supplémentaires
- Sauvegardez le fichier et exécutez la commande OpenSSL suivante, qui générera les fichiers CSR et KEY
openssl req -out sslcert.csr -newkey rsa:2048 -nodes -keyout private.key -config san.cnf
Cela créera sslcert.csr
et private.key
dans le répertoire de travail actuel. Vous devez envoyer sslcert.csr
à l'autorité de signature des certificats afin qu'elle puisse vous fournir un certificat avec SAN
Comment vérifier la RSE pour SAN ?
Il serait bon de vérifier si votre CSR contient le SAN que vous avez spécifié dans le fichier san.cnf
openssl req -noout -text -in sslcert.csr | grep DNS
Ex
[root@Chandan test]# openssl req -noout -text -in sslcert.csr | grep DNS DNS:bestflare.com, DNS:usefulread.com, DNS:chandank.com [root@Chandan test]#
Une fois que vous êtes satisfait de la RSE, vous pouvez l'envoyer à votre autorité de certification pour qu'elle signe le certificat. Vous pouvez également l'acheter sur Boutique SSL.