Introducción a los certificados multidominio (SAN: Subject Alternative Name).

Reduce el coste y mantenimiento de tu SSL usando un único certificado para múltiples dominios usando certificados multidominio SAN (Subject Alternative Name).

https-ssl

Un Certificado SSL SAN (Subject Alternative Name – Nombre alternativo del sujeto) ofrece el mismo cifrado que otros SSL, pero protege varios sitios. Por lo tanto, puedes usar un solo Certificado SAN para asegurar miweb.com, blog.miweb.com y miweb.net. La información que tus clientes envíen a cualquiera de ellos estará segura.


En lugar de comprar varios certificados para cada nombre de dominio, puedes incluir nombres de dominio en los campos SAN y usar un solo certificado. Esto permite ahorrar el coste de comprar certificados individuales, además del tiempo empleado para administrarlos.

Diferencia entre certificados Wildcard SSL y certificados multidominio SAN

Un certificado Wildcard SSL permite proteger varios subdominios con un sólo certificado. Puedes incluir subdominios sin necesidad de redistribuir el certificado SSL. En cambio, un certificado SAN SSL es válido para varios dominios de primer nivel (y también subdominios).

Resultado de imagen de ssl san

Generar CSR para certificado SAN

La creación de un CSR para SAN es ligeramente diferente a como se hace para un SSL único.

1. Crear el fichero de configuración con los dominios pertinentes (san.conf)

Accede al servidor donde tengas isntalado OpenSSL y en el directorio que quieras genera un fichero llamado san.conf con la siguiente información:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
C = ES
ST = Albacete
L = Albacete
O = Empresa
OU = Departamento XX
CN = dominio.com (Escribir aquí un dominio es irrelevante, los dominios serán siempre comprobados en [alt_names])

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names (email de contacto)

[alt_names]
DNS.1 = www.dominio1.de
DNS.2 = dominio2.com
DNS.3 = subdominio0.dominios.net

Si un dominio aparece en el campo «CN» entonces también debe ser escrito en la sección «[alt_names]«

2. Crea la solicitud CSR en base a la configuración del fichero anterior.

openssl req -new -out certificate.csr -newkey rsa:2048 -nodes -sha256 -keyout -key private.key -config san.conf

Esto creará certificate.csr y private.key en el directorio actual. Debes enviar el fichero certificate .csr a la autoridad certificadora.

3. Verificar CSR

openssl req -noout -text -in certificate.csr | grep DNS
o
openssl req -noout -text -verify -in certificate.csr

La salida de este comando debería ser como la siguiente

[root@alcales]# openssl req -noout -text -in certificate.csr | grep DNS
               DNS:www.dominio1.de, DNS:dominio2.com, DNS:subdominio0.dominios.net

Otras formas de verificar SAN es mediante algunas de estas herramientas online.

Comparte el post