SSL sertifikaları genellikle tek bir tam tanımlı alan adı (FQDN)
için yayınlanır ve sadece ilgili FQDN (CommonName alanında belirtilir)
için kullanılırlar. mail.bga.com.tr için hazırlanmış bir sertifika
www.bga.com.tr için kullanılamaz.
Bazı durumlarda ilgili alan
adına ait birden fazla alt alan adı için sertifika alınması gerekebilir.
Kurumsal firmalar her bir alt alan adı (sub domain) için yeni bir
sertifika almak yerine tüm alt domainleri kapsayacak şekilde üretilen
“Wildcard” sertifika almayı tercih eder.
Wildcard sertifikası ile alan
adı kısmı (CommonName)*.bga.com.tr şeklinde verilir ve tüm
bga.com.tr’li alt domainler için kullanılabilir.
Sertifikadaki *
karekteri sayesinde alınan sertifika standart sertifikalardaki gibi tek
bir alan adı için değil sınırsız sayıda alt alan adı için kullanılabilir
olur.
Resim-1:Wildcard SSL Sertifika Örneği
Wildcard sertifika ile aşağıdaki gibi bir alan adına ait tüm alt alan adları için tek bir sertifika yeterli olacaktır.
- a.bga.com.tr
- mail.bga.com.tr
- www.bga.com.tr
- netsec.bga.com.tr
Bazı
durumda da firmalar birden fazla farklı alan adı için sertifika almak
istemektedir. Bu durumda her bir alan adı farklı olduğu için Wildcard
sertifika kullanılamaz.
Örnek: Aşağıdaki alan adlarının tamamını içerek bir SSL sertifikası üretilmesi talep edilmektedir.
- bga.com.tr
- netsectr.org
- lifeoverip.net
- siberguvenlik.org
- hack2net.com
Farklı
alan adlarının tek bir sertifikada olabilmesi için SAN sertifika
kullanılması gerekir. SAN (Subject Alternative Name) sertifikalar
günümüzdeki modern browserlarin tamamı tarafından desteklenmekte ve
birden fazla alan adı için tek bir sertifika yeterli olmaktadır.
Resim-2:SAN(Subject Alternative Name) Örneği
SSL
işlemleri için en fazla tercih edilen kütüphane olan OpenSSL SAN
desteği sunmaktadır.
Aşağıdaki adımlar kullanılarak birden fazla alan
adı için tek bir sertifika isteği üretilebilir.
OpenSSL Kullanaral SAN CSR İsteği Oluşturma
Üretilen sertifikayı kontrol etmek için aşağıdaki komut yeterli olacaktır.
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
b6:d6:8e:d2:ab:ea:5c:d8
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=TR, ST=Istanbul, L=Altunizade, O=bga.com.tr, OU=WEB server, CN=*.bga.com.tr/emailAddress=postmaster@bga.com.tr
Validity
Not Before: Feb 9 14:50:38 2013 GMT
Not After : Feb 9 14:50:38 2014 GMT
Subject: C=TR, ST=Istanbul, L=Altunizade, O=bga.com.tr, OU=WEB server, CN=*.bga.com.tr/emailAddress=postmaster@bga.com.tr
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:a1:1f:7c:57:ee:0f:68:90:e7:a0:23:38:97:e0:
9b:79:48:c9:1c:08:a1:32:33:45:ed:76:e8:df:29:
7f:b6:8f:43:68:f1:5f:aa:9f:3b:bf:40:c4:bc:76:
a4:cc:a5:eb:1a:bd:26:c1:44:10:1e:64:04:f4:f7:
c2:2f:43:c5:bb:48:f7:cc:a6:ef:c4:b3:b2:f0:12:
85:1e:f9:ab:05:64:78:e7:aa:71:97:38:a3:5a:15:
e0:10:78:4a:a5:77:ec:0a:f8:fb:9d:2f:ab:ef:fb:
d3:28:4c:72:20:71:9f:b9:d0:c0:e9:6e:27:2a:6c:
f2:d3:af:e6:8d:20:e8:a9:a1
Exponent: 65537 (0x10001)
X509v3 extensions:
Netscape Cert Type:
SSL Server
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:*.bga.com.tr, DNS:hack2net.com, DNS:lifeoverip.net, DNS:siberguvenlik.org, DNS:netsectr.org
Signature Algorithm: sha1WithRSAEncryption
10:45:d5:a8:c5:21:26:7c:bf:50:50:ac:5f:66:b9:69:f0:71:
0c:3e:9f:3a:62:84:0f:38:9d:39:ae:1c:95:3b:50:b9:3f:0a:
f0:08:d6:b1:3c:13:d5:af:a6:e8:1e:22:c1:23:bf:77:d3:04:
a6:8a:fc:b5:ce:d8:0a:eb:53:e6:f3:47:d7:ae:f1:04:88:68:
3e:50:44:97:91:63:d4:2b:2e:d7:19:99:1e:60:aa:62:0a:ba:
ba:b3:81:9b:ef:e7:d3:3a:37:9f:88:c1:e0:25:d2:e6:0a:7f:
2b:d6:d9:7a:92:f1:e8:a5:13:05:fb:d7:d3:5d:1d:fa:96:c5:
Resim-3:Oluşturulmuş SAN Sertifika