vigencia verificar verificador ver validar tiene sitio saber online linea generar datos como certificado apache ssl openssl

apache - verificar - Generando CSR para multidominio



verificador ssl (1)

Para que un certificado X.509 admita varios dominios, debe usar múltiples entradas DNS de nombre alternativo del sujeto, de acuerdo con RFC 2818 (HTTP sobre TLS) (o RFC 6125):

Si está presente una extensión subjectAltName de tipo dNSName, DEBE utilizarse como identidad. De lo contrario, DEBE utilizarse el campo de Nombre común (más específico) en el campo Asunto del certificado. Aunque el uso del Nombre común es una práctica existente, está en desuso y se recomienda a las Autoridades de certificación que usen el Nombre DNS en su lugar.

La coincidencia se realiza usando las reglas de coincidencia especificadas por [RFC2459]. Si hay más de una identidad de un tipo dado presente en el certificado (por ejemplo, más de un nombre dNSName, una coincidencia en cualquiera de los conjuntos se considera aceptable).

Como se describe en este documento (excepto que usaría -des3 también para el comando genrsa , para proteger la clave privada):

  • Haga una copia de su archivo openssl.cnf inicial (el original está probablemente en algún lugar debajo de /etc en Linux).
  • req_extensions = v3_req para agregar req_extensions = v3_req en la sección [ req ] .
  • Edítelo para agregar subjectAltName=DNS:www.example.com,DNS:www.other-example.com (un DNS: entrada por nombre de host que requiera) en la sección [ v3_req ] .
  • Haga que OpenSSL use ese archivo de configuración. Llámalo con OPENSSL_CONF=/path/to/your/openssl.cnf openssl req ...

Dicho esto, no me preocuparía demasiado establecer cualquier extensión en la CSR. Cualquier buena CA debe ignorar todo lo que haya establecido en la CSR y solo establecer lo que haya verificado realmente al emitir el certificado real. Reemplazarán felizmente cualquier RDN en su DN de asunto (por ejemplo, País, Organización, ...), así como cualquier extensión (SAN o Uso de clave). En primer lugar, si permiten una extensión como solicitada en el CSR por el solicitante, esto representaría un riesgo de seguridad, ya que algunos solicitantes realmente podrían obtener algo. En segundo lugar, así es como ganan dinero extra, cobrándote por establecer algunos bits aquí y allá (por ejemplo, extensión de firma de código): se asegurarán de que solo obtengas lo que pagaste en tu certificado. Sin embargo, entiendo que es posible que desee poner todos los nombres que solicita en su CSR, solo para estar seguro.

Cómo generar CSR para multidominio.

Descubrí que la generación de CSR para un solo dominio es la siguiente:

openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr

Pero, ¿cómo puedo generar RSC multidominio?