SSL sertifikaları genellikle tek bir tam tanımlı alan adı (FQDN) için yayınlanır ve sadece ilgili FQDN (CommonName alanında belirtilir) için kullanılırlar. mail.bga.com.tr için hazırlanmış bir sertifika www.bga.com.tr için kullanılamaz.
Bazı durumlarda ilgili alan adına ait birden fazla alt alan adı için sertifika alınması gerekebilir. Kurumsal firmalar her bir alt alan adı (sub domain) için yeni bir sertifika almak yerine tüm alt domainleri kapsayacak şekilde üretilen “Wildcard” sertifika almayı tercih eder. Wildcard sertifikası ile alan adı kısmı (CommonName)*.bga.com.tr şeklinde verilir ve tüm bga.com.tr’li alt domainler için kullanılabilir. Sertifikadaki * karekteri sayesinde alınan sertifika standart sertifikalardaki gibi tek bir alan adı için değil sınırsız sayıda alt alan adı için kullanılabilir olur.
Resim-1:Wildcard SSL Sertifika Örneği
Wildcard sertifika ile aşağıdaki gibi bir alan adına ait tüm alt alan adları için tek bir sertifika yeterli olacaktır.
- a.bga.com.tr
- mail.bga.com.tr
- www.bga.com.tr
- netsec.bga.com.tr
Bazı durumda da firmalar birden fazla farklı alan adı için sertifika almak istemektedir. Bu durumda her bir alan adı farklı olduğu için Wildcard sertifika kullanılamaz.
Örnek: Aşağıdaki alan adlarının tamamını içerek bir SSL sertifikası üretilmesi talep edilmektedir.
- bga.com.tr
- netsectr.org
- lifeoverip.net
- siberguvenlik.org
- hack2net.com
Farklı alan adlarının tek bir sertifikada olabilmesi için SAN sertifika kullanılması gerekir. SAN (Subject Alternative Name) sertifikalar günümüzdeki modern browserlarin tamamı tarafından desteklenmekte ve birden fazla alan adı için tek bir sertifika yeterli olmaktadır.
Resim-2:SAN(Subject Alternative Name) Örneği
SSL işlemleri için en fazla tercih edilen kütüphane olan OpenSSL SAN desteği sunmaktadır. Aşağıdaki adımlar kullanılarak birden fazla alan adı için tek bir sertifika isteği üretilebilir.
OpenSSL Kullanaral SAN CSR İsteği Oluşturma
openssl req -new -x509 -nodes -config san-openssl.cnf -out /tmp/server.pem -keyout /tmp/server.key -days 365
Üretilen sertifikayı kontrol etmek için aşağıdaki komut yeterli olacaktır.
[email protected]:~# openssl x509 -in /tmp/server.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
b6:d6:8e:d2:ab:ea:5c:d8
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=TR, ST=Istanbul, L=Altunizade, O=bga.com.tr, OU=WEB server, CN=*.bga.com.tr/[email protected]
Validity
Not Before: Feb 9 14:50:38 2013 GMT
Not After : Feb 9 14:50:38 2014 GMT
Subject: C=TR, ST=Istanbul, L=Altunizade, O=bga.com.tr, OU=WEB server, CN=*.bga.com.tr/[email protected]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:a1:1f:7c:57:ee:0f:68:90:e7:a0:23:38:97:e0:
9b:79:48:c9:1c:08:a1:32:33:45:ed:76:e8:df:29:
7f:b6:8f:43:68:f1:5f:aa:9f:3b:bf:40:c4:bc:76:
a4:cc:a5:eb:1a:bd:26:c1:44:10:1e:64:04:f4:f7:
c2:2f:43:c5:bb:48:f7:cc:a6:ef:c4:b3:b2:f0:12:
85:1e:f9:ab:05:64:78:e7:aa:71:97:38:a3:5a:15:
e0:10:78:4a:a5:77:ec:0a:f8:fb:9d:2f:ab:ef:fb:
d3:28:4c:72:20:71:9f:b9:d0:c0:e9:6e:27:2a:6c:
f2:d3:af:e6:8d:20:e8:a9:a1
Exponent: 65537 (0x10001)
X509v3 extensions:
Netscape Cert Type:
SSL Server
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:*.bga.com.tr, DNS:hack2net.com, DNS:lifeoverip.net, DNS:siberguvenlik.org, DNS:netsectr.org
Signature Algorithm: sha1WithRSAEncryption
10:45:d5:a8:c5:21:26:7c:bf:50:50:ac:5f:66:b9:69:f0:71:
0c:3e:9f:3a:62:84:0f:38:9d:39:ae:1c:95:3b:50:b9:3f:0a:
f0:08:d6:b1:3c:13:d5:af:a6:e8:1e:22:c1:23:bf:77:d3:04:
a6:8a:fc:b5:ce:d8:0a:eb:53:e6:f3:47:d7:ae:f1:04:88:68:
3e:50:44:97:91:63:d4:2b:2e:d7:19:99:1e:60:aa:62:0a:ba:
ba:b3:81:9b:ef:e7:d3:3a:37:9f:88:c1:e0:25:d2:e6:0a:7f:
2b:d6:d9:7a:92:f1:e8:a5:13:05:fb:d7:d3:5d:1d:fa:96:c5:
Resim-3:Oluşturulmuş SAN Sertifika
