Geekflare
Geekflare est soutenu par son public. Nous pouvons percevoir des commissions d'affiliation sur les liens d'achat présents sur ce site.
En Sécurité  |  Dernière mise à jour : 25 septembre 2023
Partager sur :
Invicti Web Application Security Scanner - la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Connaître le certificat SAN et savoir comment le créer avec OpenSSL

Par
zerossl apache nginx

Réduisez les coûts et la maintenance de SSL en utilisant un seul certificat pour plusieurs sites web à l'aide d'un certificat SAN.

SAN signifie "Nom alternatif du sujet"et vous permet d'avoir un seul certificat pour plusieurs CN (Common Name).

Vous pensez peut-être qu'il s'agit d'un Caractère générique SSLmais laissez-moi vous dire que c'est légèrement différent. Dans le certificat SAN, vous pouvez avoir plusieurs CN complets.

Exemple

  • geekflare.com
  • gf.dev
  • siterelic.com
  • chandan.io

Je peux avoir tout cela et bien plus encore avec un seul certificat. Cela signifie que je n'ai qu'à acheter un seul certificat et à l'utiliser pour plusieurs URL

Cela vous semble intéressant ?

La création d'un CSR pour SAN est légèrement différente de la commande OpenSSL traditionnelle et nous vous expliquerons dans un instant comment générer un CSR pour un certificat SSL Subject Alternative Names

Examinons l'exemple en temps réel de skype.com, qui possède plusieurs SAN dans un seul certificat

skype-san

Comme vous pouvez le voir dans l'exemple ci-dessus, si vous gérez plusieurs URL https, vous pouvez envisager de les consolider en un seul certificat SSL avec SAN et économiser ainsi des milliers d'euros.

Qu'en pensez-vous ?

Procédure de création d'une CSR avec SAN

  • Connectez-vous à un serveur sur lequel OpenSSL est installé
  • Allez dans /tmp ou créez n'importe quel répertoire
  • Créez un fichier nommé san.cnf à l'aide de vi (si vous êtes sous Unix) avec les informations suivantes
[req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext
[req_distinguished_name ]
countryName = Nom du pays (code de 2 lettres)
stateOrProvinceName = Nom de l'État ou de la province (nom complet)
localityName = Nom de la localité (p. ex., ville)
organizationName = Nom de l'organisation (p. ex., entreprise)
commonName = Nom commun (p. ex.fQDN du serveur ou VOTRE nom)
[req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1  = bestflare.com
DNS.2  = usefulread.com
DNS.3  = chandank.com

Remarque : la section alt_names est celle que vous devez modifier pour les DNS supplémentaires

  • Sauvegardez le fichier et exécutez la commande OpenSSL suivante, qui générera les fichiers CSR et KEY
openssl req -out sslcert.csr -newkey rsa:2048 -nodes -keyout private.key -config san.cnf

Cela créera sslcert.csr et private.key dans le répertoire de travail actuel. Vous devez envoyer sslcert.csr à l'autorité de signature des certificats afin qu'elle puisse vous fournir un certificat avec SAN

Comment vérifier la RSE pour SAN ?

Il serait bon de vérifier si votre CSR contient le SAN que vous avez spécifié dans le fichier san.cnf 

openssl req -noout -text -in sslcert.csr | grep DNS

Ex

[root@Chandan test]# openssl req -noout -text -in sslcert.csr | grep DNS
 DNS:bestflare.com, DNS:usefulread.com, DNS:chandank.com
[root@Chandan test]#

Une fois que vous êtes satisfait de la RSE, vous pouvez l'envoyer à votre autorité de certification pour qu'elle signe le certificat. Vous pouvez également l'acheter sur Boutique SSL.

  • Chandan Kumar
    Auteur
    Chandan Kumar est le fondateur de Geekflare. Il a aidé des millions de personnes à exceller dans le domaine numérique. Passionné de technologie, il s'est donné pour mission d'explorer le monde et d'amplifier la croissance des professionnels et des entreprises.
Merci à nos sponsors
Autres lectures sur la sécurité
Alimentez votre entreprise
Quelques outils et services pour aider votre entreprise à se développer.
  • Invicti
    Invicti utilise le Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Brightdata
    Web scraping, proxy résidentiel, proxy manager, web unlocker, search engine crawler, et tout ce dont vous avez besoin pour collecter des données web.
    Essayez Brightdata
  • Lundi.com
    Monday.com est un système d'exploitation tout-en-un qui vous aide à gérer vos projets, vos tâches, votre travail, vos ventes, votre CRM, vos opérations, vos flux de travail et bien plus encore.
    Essayez le lundi
  • Intrus
    Intruder est un scanner de vulnérabilité en ligne qui détecte les faiblesses de votre infrastructure en matière de cybersécurité, afin d'éviter des violations de données coûteuses.
    Essayer l'intrus