Мультидоменный сертификат (MDC, Multi-Domain Certificate) - это SSL сертификат, поддерживающий защиту нескольких различных доменов посредством одного сертификата.
Для того чтобы его создать, требуется слегка подкорректировать конфигурационный файл openssl.cnf или создать новый с альтернативным именем.
server root # cp /etc/ssl/openssl.cnf /etc/ssl/multi-domain.openssl.cnf
Правок немного:
/etc/ssl/multi-domain.openssl.cnf
[ req ] # В этой секции
req_extensions = v3_req # раскоментировать эту строку
req_extensions = v3_req # раскоментировать эту строку
[ v3_req ] # В этой
subjectAltName = @alt_names # добавить такую строку
subjectAltName = @alt_names # добавить такую строку
# В конец файла добавить секцию
[ alt_names ] # И здесь
DNS.0 = server1.dname.ru # указать список доменов
DNS.1 = *.dname2.ru # для которых выписываем сертификат
DNS.2 = *.dname3.ru
IP.0 = 88.22.111.44 # И, если нужно, IP адреса
[ alt_names ] # И здесь
DNS.0 = server1.dname.ru # указать список доменов
DNS.1 = *.dname2.ru # для которых выписываем сертификат
DNS.2 = *.dname3.ru
IP.0 = 88.22.111.44 # И, если нужно, IP адреса
Теперь можно создавать сертификат:
server root # openssl req -x509 -newkey rsa:1024 -keyout mdomcert.pem \
-out mdomcert.pem -days 365 -nodes \
-extensions v3_req \
-config /etc/ssl/multi-domain.openssl.cnf
...
Country Name (2 letter code) [RU]:RU
State or Province Name (full name) [Arkh]:Arkh
Locality Name (eg, city) []:Arkh
Organization Name (eg, company) [Org LTD]:Org LTD
Organizational Unit Name (eg, section) [IT]:IT
Common Name (e.g. server FQDN or YOUR name) []:dname.ru
Email Address []:Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Самое главное указать openssl использовать расширение -extensions v3_req и конфигурационный файл -config /etc/ssl/test.cnf.
Теперь можно посмотреть что у нас получилось:
server root # openssl x509 -noout -text -in mdomcert.pem
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
99:8e:b6:31:aa:2e:88:b4
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=RU, ST=Arkh, L=Arkh, O=Org LTD, OU=IT, CN=dname.ru/emailAddress=Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Validity
Not Before: Aug 27 11:35:28 2018 GMT
Not After : Aug 26 11:35:28 2016 GMT
Subject: C=RU, ST=Arkh, L=Arkh, O=Org LTD, OU=IT, CN=dname.ru/emailAddress=Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:cb:2f:27:84:f9:36:67:8a:86:9a:bc:ab:96:90:
...
ae:0e:18:ac:bd:53:c9:a6:27
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:server1.dname.ru, DNS:*.dname2.ru, DNS:*.dname3.ru, IP Address:88.22.111.44
Signature Algorithm: sha1WithRSAEncryption
85:61:f2:8b:ac:80:b5:b2:d0:69:eb:6d:bd:af:72:c1:17:b4:
...
da:8b
Строка, выделенная красным, содержит альтернативные имена и IP адреса сертификата.
Добавить комментарий