Мультидоменный сертификат (MDC, Multi-Domain Certificate) - это SSL сертификат, поддерживающий защиту нескольких различных доменов посредством одного сертификата.

Для того чтобы его создать, требуется слегка подкорректировать конфигурационный файл openssl.cnf или создать новый с альтернативным именем.

server root # cp /etc/ssl/openssl.cnf /etc/ssl/multi-domain.openssl.cnf

Правок немного:

/etc/ssl/multi-domain.openssl.cnf
[ req ]                      # В этой секции
req_extensions = v3_req      # раскоментировать эту строку
[ v3_req ]                   # В этой
subjectAltName = @alt_names  # добавить такую строку
# В конец файла добавить секцию
[ alt_names ]                # И здесь
DNS.0 = server1.dname.ru     # указать список доменов
DNS.1 = *.dname2.ru          # для которых выписываем сертификат
DNS.2 = *.dname3.ru
IP.0  = 88.22.111.44         # И, если нужно, IP адреса

Теперь можно создавать сертификат:

server root # openssl req -x509 -newkey rsa:1024 -keyout mdomcert.pem \
-out mdomcert.pem -days 365 -nodes \
-extensions v3_req \
-config /etc/ssl/multi-domain.openssl.cnf
...
Country Name (2 letter code) [RU]:RU
State or Province Name (full name) [Arkh]:Arkh
Locality Name (eg, city) []:Arkh
Organization Name (eg, company) [Org LTD]:Org LTD
Organizational Unit Name (eg, section) [IT]:IT
Common Name (e.g. server FQDN or YOUR name) []:dname.ru
Email Address []:Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Самое главное указать openssl использовать расширение -extensions v3_req и конфигурационный файл -config /etc/ssl/test.cnf.

Теперь можно посмотреть что у нас получилось:

server root # openssl x509 -noout -text -in mdomcert.pem
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            99:8e:b6:31:aa:2e:88:b4
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=RU, ST=Arkh, L=Arkh, O=Org LTD, OU=IT, CN=dname.ru/emailAddress=Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
        Validity
            Not Before: Aug 27 11:35:28 2018 GMT
            Not After : Aug 26 11:35:28 2016 GMT
        Subject: C=RU, ST=Arkh, L=Arkh, O=Org LTD, OU=IT, CN=dname.ru/emailAddress=Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (1024 bit)
                Modulus:
                    00:cb:2f:27:84:f9:36:67:8a:86:9a:bc:ab:96:90:
                    ...
                    ae:0e:18:ac:bd:53:c9:a6:27
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Key Usage:
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Alternative Name:
                DNS:server1.dname.ru, DNS:*.dname2.ru, DNS:*.dname3.ru, IP Address:88.22.111.44
    Signature Algorithm: sha1WithRSAEncryption
         85:61:f2:8b:ac:80:b5:b2:d0:69:eb:6d:bd:af:72:c1:17:b4:
         ...
         da:8b

Строка, выделенная красным, содержит альтернативные имена и IP адреса сертификата.

Добавить комментарий