Certificados con Subject Alternative Name

Buenas,

Hoy me gustaría hablaros sobre cómo generar certificados para sitios web o similares que contengan el alias dns del sitio al que nos conectamos en el subject alternative name debido a que si el nombre del sitio web apararece solo en el nombre del certificado, algunos navegadores como puede ser Chrome a partir de la versión 58 muestran un warning indicando que el sitio web no es seguro.

Podéis encontrar información más detallada acerca del warning de seguridad mostrado por chrome a partir de la versión 58 en la siguientes enlaces:

https://communities.ca.com/thread/241776307

https://community.tenable.com/thread/11586

Una vez hecha esta breve introducción procederemos a detallar el procedimiento que debemos seguir para generar una csr (Certificate Signing Request) que contenga el subject alternative name, para ello seguiremos los siguientes pasos:

1- Generar un fichero de configuración con extensión cnf el cual contendrá el subject alternative name o los subject alternative name que queremos que contenga el certificado. El formato de este fichero será muy similar al siguiente:

2- Seguidamente con openssl crearemos la clave de nuestro certificado usando el siguiente comando
openssl genrsa -out mykey.key 4096

3- El último paso que debemos hacer para generar la csr usando la clave y el fichero de configuración creados anteriormente será ejecutar el siguiente comando de openssl
openssl req -out sslcer.csr -key mykey.key -new -sha256 -config san.cnf

Una vez generada la csr procederemos a firmarla con nuestra entidad certificadora y observaremos como el certificado generado incluye el subject alternative name definido

Espero que sea de utilidad.

Un saludo

Samuel López posted at 2017-6-7 Category: Articulos IT