Birden Fazla Alan Adı için Tek Sertifika Kullanımı

SSL sertifikaları genellikle tek bir tam tanımlı alan adı (FQDN) için  yayınlanır ve sadece ilgili FQDN  (CommonName alanında belirtilir) için kullanılırlar. mail.bga.com.tr için hazırlanmış bir sertifika www.bga.com.tr için kullanılamaz.

Bazı durumlarda ilgili alan adına ait birden fazla alt alan adı için sertifika alınması gerekebilir. Kurumsal firmalar her bir alt alan adı (sub domain) için yeni bir sertifika almak yerine tüm alt domainleri kapsayacak şekilde üretilen “Wildcard” sertifika almayı tercih eder. Wildcard sertifikası ile alan adı  kısmı (CommonName)*.bga.com.tr şeklinde verilir ve tüm bga.com.tr’li alt domainler için kullanılabilir. Sertifikadaki * karekteri sayesinde alınan sertifika standart sertifikalardaki gibi tek bir alan adı için değil sınırsız sayıda alt alan adı için kullanılabilir olur.

wildcard_sertifika

Resim-1:Wildcard SSL Sertifika Örneği

Wildcard sertifika ile aşağıdaki gibi bir alan adına ait tüm alt alan adları için tek bir sertifika yeterli olacaktır.

  • a.bga.com.tr
  • mail.bga.com.tr
  • www.bga.com.tr
  • netsec.bga.com.tr

Bazı durumda da firmalar birden fazla farklı alan adı için sertifika almak istemektedir. Bu durumda her bir alan adı farklı olduğu için Wildcard sertifika kullanılamaz.

Örnek: Aşağıdaki alan adlarının tamamını içerek bir SSL sertifikası üretilmesi talep edilmektedir.

  • bga.com.tr
  • netsectr.org
  • lifeoverip.net
  • siberguvenlik.org
  • hack2net.com

Farklı alan adlarının tek bir sertifikada olabilmesi için SAN sertifika kullanılması gerekir. SAN (Subject Alternative Name) sertifikalar günümüzdeki modern browserlarin tamamı tarafından desteklenmekte ve birden fazla alan adı için tek bir sertifika yeterli olmaktadır.

subject_alternative_name

Resim-2:SAN(Subject Alternative Name) Örneği

SSL işlemleri için en fazla tercih edilen kütüphane olan OpenSSL SAN desteği sunmaktadır. Aşağıdaki adımlar kullanılarak birden fazla alan adı için tek bir sertifika isteği üretilebilir.

OpenSSL  Kullanaral SAN  CSR İsteği Oluşturma

openssl req -new -x509 -nodes -config san-openssl.cnf -out /tmp/server.pem -keyout /tmp/server.key -days 365

Üretilen sertifikayı kontrol etmek için aşağıdaki komut yeterli olacaktır.

[email protected]:~# openssl x509 -in /tmp/server.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
b6:d6:8e:d2:ab:ea:5c:d8
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=TR, ST=Istanbul, L=Altunizade, O=bga.com.tr, OU=WEB server, CN=*.bga.com.tr/[email protected]
Validity
Not Before: Feb  9 14:50:38 2013 GMT
Not After : Feb  9 14:50:38 2014 GMT
Subject: C=TR, ST=Istanbul, L=Altunizade, O=bga.com.tr, OU=WEB server, CN=*.bga.com.tr/[email protected]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:a1:1f:7c:57:ee:0f:68:90:e7:a0:23:38:97:e0:
9b:79:48:c9:1c:08:a1:32:33:45:ed:76:e8:df:29:
7f:b6:8f:43:68:f1:5f:aa:9f:3b:bf:40:c4:bc:76:
a4:cc:a5:eb:1a:bd:26:c1:44:10:1e:64:04:f4:f7:
c2:2f:43:c5:bb:48:f7:cc:a6:ef:c4:b3:b2:f0:12:
85:1e:f9:ab:05:64:78:e7:aa:71:97:38:a3:5a:15:
e0:10:78:4a:a5:77:ec:0a:f8:fb:9d:2f:ab:ef:fb:
d3:28:4c:72:20:71:9f:b9:d0:c0:e9:6e:27:2a:6c:
f2:d3:af:e6:8d:20:e8:a9:a1
Exponent: 65537 (0x10001)
X509v3 extensions:
Netscape Cert Type:
SSL Server
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:*.bga.com.tr, DNS:hack2net.com, DNS:lifeoverip.net, DNS:siberguvenlik.org, DNS:netsectr.org
Signature Algorithm: sha1WithRSAEncryption
10:45:d5:a8:c5:21:26:7c:bf:50:50:ac:5f:66:b9:69:f0:71:
0c:3e:9f:3a:62:84:0f:38:9d:39:ae:1c:95:3b:50:b9:3f:0a:
f0:08:d6:b1:3c:13:d5:af:a6:e8:1e:22:c1:23:bf:77:d3:04:
a6:8a:fc:b5:ce:d8:0a:eb:53:e6:f3:47:d7:ae:f1:04:88:68:
3e:50:44:97:91:63:d4:2b:2e:d7:19:99:1e:60:aa:62:0a:ba:
ba:b3:81:9b:ef:e7:d3:3a:37:9f:88:c1:e0:25:d2:e6:0a:7f:
2b:d6:d9:7a:92:f1:e8:a5:13:05:fb:d7:d3:5d:1d:fa:96:c5:

SAN_cikti

Resim-3:Oluşturulmuş SAN Sertifika

This entry was posted in Misc. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

2 × five =