Продление SSL-сертификата может стать обременительной задачей, особенно если речь идет о нескольких доменных именах.
Альтернативные имена субъектов (Subject Alternative Names, SAN) обеспечивают эффективное решение, позволяя объединить несколько общих имен в один сертификат.
В отличие от wildcard SSL-сертификатов, SAN позволяет включать различные доменные имена и даже IP-адреса.
Ключевые особенности SAN:
- Несколько общих имен: SAN позволяет включать в один SSL-сертификат несколько общих имен.
- Универсальность: Можно добавлять как доменные имена, так и IP-адреса, что обеспечивает гибкость в конфигурации сертификатов.
- Сокращение количества сертификатов: SAN упрощает управление сертификатами SSL, сокращая необходимость в нескольких сертификатах.
Процесс обновления с помощью SAN:
Генерация СSR
1. Создайте файл san.cnf:
Подготовьте файл san.cnf с соответствующими альтернативными именами субъектов (DNS/IP).
2. Сгенерируйте CSR:
Используйте следующую команду для создания запроса на подписание сертификата (CSR):
3. Безопасное сохраним:
Сохраните сгенерированные CSR и ключ в безопасном месте для дальнейшего использования.
4. Проверка CSR:
Проверьте свой CSR с помощью команды:
5. Отправьте CSR в УЦ:
Отправьте CSR (например, gitlab_new.csr) в центр подписания сертификатов для выпуска сертификата.
Получение сертификата
Выполните процесс преобразования сертификата из .crt в .cer с помощью Мастера сертификатов.
Дважды щелкните файл *.crt, чтобы открыть его в окне отображения сертификатов.
1. Выберите вкладку Сведения, затем выберите параметр Копировать в файл.
2. Выберите следующий пункт в Мастере сертификатов
3. Выберите Base-64 кодировку X.509 (.CER) в окне Формат файла, затем Далее.
4. Выберите Обзор (чтобы найти место назначения) и введите имя файла.
5. Выберите Next (Далее), после чего файл сертификата с форматом .cer будет сохранен в выбранном месте назначения.
Верификация
Используйте приведенную ниже команду для проверки сертификата:
Установите сертификат:
Скопируйте полученный сертификат в указанную папку в каталоге конфигурации приложения.
Например, GitLab использует каталог /etc/gitlab/trusted-certs/.
Проверка:
Убедитесь в успешной установке сертификата с помощью команды:
Заключение
Эффективное управление SSL-сертификатами очень важно для безопасного общения в Интернете.
Использование SAN в процессе продления сертификата не только упрощает управление несколькими доменными именами, но и повышает гибкость и универсальность SSL-сертификатов.
Упростив процесс продления, организации могут обеспечить бесперебойную работу защищенных приложений и веб-сайтов.
см. также:
- 🔐 Обеспечение защищенных соединений между веб компонентами
- 🔐 Каковы различные форматы сертификатов?
- 🔐 Как удалить сертификат Let’s Encrypt с помощью Certbot
- 🌐 Расшифровка зашифрованного TLS HTTP-трафика для отладки
- 🛡️ Как распознать мошеннический сайт
- 🖧 Как игнорировать ошибки проверки сертификата при использовании wget
- 🔐 Как проверить поддерживаемые TLS и SSL алгоритмы (версии) на Linux
- 🔐 Как создать удостоверяющий центр (УЦ) или Certificate Authority (CA) на Ubuntu
- 🔐 Скрипт для проверки данных SSL-сертификата