Birden Fazla Alan Adı için Tek Sertifika Kullanımı

SSL sertifikaları genellikle tek bir tam tanımlı alan adı (FQDN)
için  yayınlanır ve sadece ilgili FQDN  (CommonName alanında belirtilir)
için kullanılırlar. mail.bga.com.tr için hazırlanmış bir sertifika
www.bga.com.tr için kullanılamaz.

Bazı durumlarda ilgili alan
adına ait birden fazla alt alan adı için sertifika alınması gerekebilir.
Kurumsal firmalar her bir alt alan adı (sub domain) için yeni bir
sertifika almak yerine tüm alt domainleri kapsayacak şekilde üretilen
“Wildcard” sertifika almayı tercih eder.
Wildcard sertifikası ile alan
adı  kısmı (CommonName)*.bga.com.tr şeklinde verilir ve tüm
bga.com.tr’li alt domainler için kullanılabilir.

Sertifikadaki *
karekteri sayesinde alınan sertifika standart sertifikalardaki gibi tek
bir alan adı için değil sınırsız sayıda alt alan adı için kullanılabilir
olur.

wildcard_sertifika
Resim-1:Wildcard SSL Sertifika Örneği

Wildcard sertifika ile aşağıdaki gibi bir alan adına ait tüm alt alan adları için tek bir sertifika yeterli olacaktır.

  • a.bga.com.tr
  • mail.bga.com.tr
  • www.bga.com.tr
  • netsec.bga.com.tr

Bazı
durumda da firmalar birden fazla farklı alan adı için sertifika almak
istemektedir. Bu durumda her bir alan adı farklı olduğu için Wildcard
sertifika kullanılamaz.

Örnek: Aşağıdaki alan adlarının tamamını içerek bir SSL sertifikası üretilmesi talep edilmektedir.

  • bga.com.tr
  • netsectr.org
  • lifeoverip.net
  • siberguvenlik.org
  • hack2net.com

Farklı
alan adlarının tek bir sertifikada olabilmesi için SAN sertifika
kullanılması gerekir. SAN (Subject Alternative Name) sertifikalar
günümüzdeki modern browserlarin tamamı tarafından desteklenmekte ve
birden fazla alan adı için tek bir sertifika yeterli olmaktadır.

subject_alternative_name
Resim-2:SAN(Subject Alternative Name) Örneği

SSL
işlemleri için en fazla tercih edilen kütüphane olan OpenSSL SAN
desteği sunmaktadır.
Aşağıdaki adımlar kullanılarak birden fazla alan
adı için tek bir sertifika isteği üretilebilir.

OpenSSL  Kullanaral SAN  CSR İsteği Oluşturma

openssl req -new -x509 -nodes -config san-openssl.cnf -out /tmp/server.pem -keyout /tmp/server.key -days 365

Üretilen sertifikayı kontrol etmek için aşağıdaki komut yeterli olacaktır.

root@bt:~# openssl x509 -in /tmp/server.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
b6:d6:8e:d2:ab:ea:5c:d8
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=TR, ST=Istanbul, L=Altunizade, O=bga.com.tr, OU=WEB server, CN=*.bga.com.tr/emailAddress=postmaster@bga.com.tr
Validity
Not Before: Feb  9 14:50:38 2013 GMT
Not After : Feb  9 14:50:38 2014 GMT
Subject: C=TR, ST=Istanbul, L=Altunizade, O=bga.com.tr, OU=WEB server, CN=*.bga.com.tr/emailAddress=postmaster@bga.com.tr
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:a1:1f:7c:57:ee:0f:68:90:e7:a0:23:38:97:e0:
9b:79:48:c9:1c:08:a1:32:33:45:ed:76:e8:df:29:
7f:b6:8f:43:68:f1:5f:aa:9f:3b:bf:40:c4:bc:76:
a4:cc:a5:eb:1a:bd:26:c1:44:10:1e:64:04:f4:f7:
c2:2f:43:c5:bb:48:f7:cc:a6:ef:c4:b3:b2:f0:12:
85:1e:f9:ab:05:64:78:e7:aa:71:97:38:a3:5a:15:
e0:10:78:4a:a5:77:ec:0a:f8:fb:9d:2f:ab:ef:fb:
d3:28:4c:72:20:71:9f:b9:d0:c0:e9:6e:27:2a:6c:
f2:d3:af:e6:8d:20:e8:a9:a1
Exponent: 65537 (0x10001)
X509v3 extensions:
Netscape Cert Type:
SSL Server
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:*.bga.com.tr, DNS:hack2net.com, DNS:lifeoverip.net, DNS:siberguvenlik.org, DNS:netsectr.org
Signature Algorithm: sha1WithRSAEncryption
10:45:d5:a8:c5:21:26:7c:bf:50:50:ac:5f:66:b9:69:f0:71:
0c:3e:9f:3a:62:84:0f:38:9d:39:ae:1c:95:3b:50:b9:3f:0a:
f0:08:d6:b1:3c:13:d5:af:a6:e8:1e:22:c1:23:bf:77:d3:04:
a6:8a:fc:b5:ce:d8:0a:eb:53:e6:f3:47:d7:ae:f1:04:88:68:
3e:50:44:97:91:63:d4:2b:2e:d7:19:99:1e:60:aa:62:0a:ba:
ba:b3:81:9b:ef:e7:d3:3a:37:9f:88:c1:e0:25:d2:e6:0a:7f:
2b:d6:d9:7a:92:f1:e8:a5:13:05:fb:d7:d3:5d:1d:fa:96:c5:

SAN_cikti
Resim-3:Oluşturulmuş SAN Sertifika