Certificados SSL wildcard / comodín

Qué es un certificado SSL wildcard, cómo generarlo y cómo usarlo en un servidor web.



Un certificado SSL se suele emitir para asegurar un dominio, sea este dominio.com, dominio.net, dominio.org, etc. o un solo subdominio, sea este subdominio.dominio.com, algo.dominio.org, etc.

A parte de certificados SSL emitidos explícitamente para un dominio, existen otro tipo de certificados que permiten asegurar todos los subdominios de un dominio usando un solo certificado SSL. Estos certificados SSL capaces de asegurar múltiples subdominios reciben el nombre de wildcard certificates o "certificados comodín" y se generan como *.dominio.com.

Un certificado comodín puede asegurar al mismo tiempo:

mail.dominio.com
www.dominio.com
contacto.dominio.com
etc.

La principal ventaja de un certificado wildcard es que pagando un solo certificado podemos asegurar todos los subdominios que queramos. Por otro lado, solo podemos asegurar subdominios de primer nivel con un certificado que asegure *.dominio.com.

Si quisieramos asegurar:

es.login.dominio.com
fr.login.dominio.com
it.login.dominio.com
etc.

No podríamos asegurarlos con un certificado wildcard genérico, deberíamos comprar un certificado wildcard de segundo nivel de subdominio, es decir, un certificado que asegurase *.login.dominio.com.

Para generar un certificado wildcard, deberemos seguir los mismos pasos que seguimos para generar un certificado SSL estándar, cambiando el "Common Name" de "dominio.com" a "*.dominio.com" (o a *.sub1.dominio.com para subdominios de segundo nivel) .

El CSR o Certificate Signing Request de un certificado wildcard se generará de la siguiente forma:

C:\temp>openssl req -nodes -keyout clave_privada.key -out pedido_certificado.csr -newkey rsa:2048 Generating a 2048 bit RSA private key ..........................................+++ ..........................................+++ writing new private key to 'clave_privada.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:ES State or Province Name (full name) [Some-State]:Barcelona Locality Name (eg, city) []:Barcelona Organization Name (eg, company) [Internet Widgits Pty Ltd]:Empresa Organizational Unit Name (eg, section) []:IT Common Name (e.g. server FQDN or YOUR name) []:*.dominio.com Email Address []:hola@email.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

Como comentaba antes, en la línea:

Common Name (e.g. server FQDN or YOUR name) []:*.dominio.com

Se debe introducir *.dominio.com para que el CSR sea válido para generar un certificado wildcard que sea válido para cualquier subdominio de primer nivel de dominio.com.

El siguiente paso es enviar el CSR generado una entidad certificadora para que esta nos devuelva el .crt.

El último paso sería poner ese archivo .crt (parte pública del certificado) y el archivo .key (parte privada del certificado) dentro del servidor web que aloje "algo.dominio.com". A partir de ese momento, cuando alguien acceda a https://algo.dominio.com verá que el subdominio está asegurado con un certificado.

Post a Comment

Mới hơn Cũ hơn