Certificados con Subject Alternative Name
Buenas,
Hoy me gustaría hablaros sobre cómo generar certificados para sitios web o similares que contengan el alias dns del sitio al que nos conectamos en el subject alternative name debido a que si el nombre del sitio web apararece solo en el nombre del certificado, algunos navegadores como puede ser Chrome a partir de la versión 58 muestran un warning indicando que el sitio web no es seguro.
Podéis encontrar información más detallada acerca del warning de seguridad mostrado por chrome a partir de la versión 58 en la siguientes enlaces:
https://communities.ca.com/thread/241776307
https://community.tenable.com/thread/11586
Una vez hecha esta breve introducción procederemos a detallar el procedimiento que debemos seguir para generar una csr (Certificate Signing Request) que contenga el subject alternative name, para ello seguiremos los siguientes pasos:
1- Generar un fichero de configuración con extensión cnf el cual contendrá el subject alternative name o los subject alternative name que queremos que contenga el certificado. El formato de este fichero será muy similar al siguiente:
2- Seguidamente con openssl crearemos la clave de nuestro certificado usando el siguiente comando
openssl genrsa -out mykey.key 4096
3- El último paso que debemos hacer para generar la csr usando la clave y el fichero de configuración creados anteriormente será ejecutar el siguiente comando de openssl
openssl req -out sslcer.csr -key mykey.key -new -sha256 -config san.cnf
Una vez generada la csr procederemos a firmarla con nuestra entidad certificadora y observaremos como el certificado generado incluye el subject alternative name definido
Espero que sea de utilidad.
Un saludo
