🔐 Эффективное управление SSL-сертификатами: Упрощение обновления с помощью Subject Alternative Names (SAN) |
Главная » Мануал

🔐 Эффективное управление SSL-сертификатами: Упрощение обновления с помощью Subject Alternative Names (SAN)

Мануал
На чтение 3 мин Опубликовано

Продление SSL-сертификата может стать обременительной задачей, особенно если речь идет о нескольких доменных именах.

Альтернативные имена субъектов (Subject Alternative Names, SAN) обеспечивают эффективное решение, позволяя объединить несколько общих имен в один сертификат.

В отличие от wildcard SSL-сертификатов, SAN позволяет включать различные доменные имена и даже IP-адреса.

Содержание
  1. Ключевые особенности SAN:
  2. Генерация СSR
  3. Получение сертификата
  4. Верификация
  5. Установите сертификат:
  6. Заключение

Ключевые особенности SAN:

  • Несколько общих имен: SAN позволяет включать в один SSL-сертификат несколько общих имен.
  • Универсальность: Можно добавлять как доменные имена, так и IP-адреса, что обеспечивает гибкость в конфигурации сертификатов.
  • Сокращение количества сертификатов: SAN упрощает управление сертификатами SSL, сокращая необходимость в нескольких сертификатах.

Процесс обновления с помощью SAN:

Генерация СSR

1. Создайте файл san.cnf:

Подготовьте файл san.cnf с соответствующими альтернативными именами субъектов (DNS/IP).

2. Сгенерируйте CSR:

Используйте следующую команду для создания запроса на подписание сертификата (CSR):

openssl req -out gitlab_new.csr -newkey rsa:2048 -nodes -keyout gitlab_new.key -config san.cnf

3. Безопасное сохраним:

Сохраните сгенерированные CSR и ключ в безопасном месте для дальнейшего использования.

4. Проверка CSR:

Проверьте свой CSR с помощью команды:



openssl req -noout -text -in <CSR file> | grep DNS

5. Отправьте CSR в УЦ:

Отправьте CSR (например, gitlab_new.csr) в центр подписания сертификатов для выпуска сертификата.

Получение сертификата

Выполните процесс преобразования сертификата из .crt в .cer с помощью Мастера сертификатов.

Дважды щелкните файл *.crt, чтобы открыть его в окне отображения сертификатов.

1. Выберите вкладку Сведения, затем выберите параметр Копировать в файл.

2. Выберите следующий пункт в Мастере сертификатов

3. Выберите Base-64 кодировку X.509 (.CER) в окне Формат файла, затем Далее.

4. Выберите Обзор (чтобы найти место назначения) и введите имя файла.

5. Выберите Next (Далее), после чего файл сертификата с форматом .cer будет сохранен в выбранном месте назначения.

Верификация

Используйте приведенную ниже команду для проверки сертификата:

openssl x509 -in -text -noout

Установите сертификат:

Скопируйте полученный сертификат в указанную папку в каталоге конфигурации приложения.

Например, GitLab использует каталог /etc/gitlab/trusted-certs/.

Проверка:

Убедитесь в успешной установке сертификата с помощью команды:



openssl x509 -in <CERT file name> -text -noout

Заключение

Эффективное управление SSL-сертификатами очень важно для безопасного общения в Интернете.

Использование SAN в процессе продления сертификата не только упрощает управление несколькими доменными именами, но и повышает гибкость и универсальность SSL-сертификатов.

Упростив процесс продления, организации могут обеспечить бесперебойную работу защищенных приложений и веб-сайтов.

см. также:

 

OpenSSL SSL web security
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий