Цифровой сертификат для нескольких доменных имен
Всем известно, что для работы web-сайта по SSL необходимо наличие сертификата. В сертификате зафиксировано имя сервера, которому он выдан, при попытке обратиться к сайту не по тому имени, которое прописано в сертификате, браузер выдает ошибку безопасности.
Однако, иногда бывает необходимо, чтобы один и тот же сайт был бы доступен по нескольким путям — например, www.company.ru и company.ru, или даже autodiscover.company.ru (такое часто необходимо для работы технологии Exchange Autodiscover). Но к одному сайту можно привязать лишь один сертификат.
На помощь приходит такая вещь, как Subject Alternative Name — специальное поле в сертификате, которое содержит набор имен, соответствующих данному сертификату.
Для того, чтобы выдать серверу такой сертификат, необходимо прежде всего настроить службу Certification Authority, разрешив ей выдавать сертификаты, содержащие поля SAN. Если этого не сделать, то поля SAN из запроса будут проигнорированы, и сертификат будет привязан лишь к полю CN (Common Name).
Для разрешения выдачи сертификатов с полем SAN необходимо запустить на компьютере, содержащем службу Certification Authority, следующую команду:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
после чего перезапустить службу Certification Authority:
net stop certsvc
net start certsvc
После этого можно формировать запрос на сертификат, например, открыв Certificate Web Enrollment и создав запрос на сертификат шаблона Web Server.
В поле Attributes: запроса необходимо указать DNS-имена сайтов, к которым будет относиться данный сертификат, в следующем виде:
san:dns=имя_сервера_1&dns=имя_сервера_2
Причем, первым в списке должно идти то же имя, которое мы указываем как Common Name — то есть, основное имя сертификата.
Например, для сертификата, относящегося к сайтам company.ru, mail.company.ru и autodiscover.company.ru, причем основным является имя mail.company.ru, эта строчка будет выглядеть так:
san:dns=mail.company.ru&dns=company.ru&dns=autodiscover.company.ru
Отправляем запрос на сервер, и получаем требуемый сертификат.
В Windows Server 2008 и 2008 R2 можно запросить такой сертификат с помощью оснастки MMC «Сертификаты». Для этого:
Выбираем Request New Certificate в хранилище сертификатов компьютера.
Затем указываем тип запрашиваемого сертификата. Как видно, сертификат Web Server просто так не выдается — нужно указать дополнительные параметры, а именно имя сервера. Щелкаем на предлагаемую ссылку.
В открывшемся окне нам надо указать имена сервера, к которым будет привязан наш сертификат. Первичное, главное имя сертификата задается в пункте Subject Name в виде Common Name. А требуемые нам вторичные имена — в виде DNS в пункте Alternative Name. Главное — не забыть среди вторичных имен указать и главное.
Все! нажимаем OK, проходим далее и получаем сертификат, привязанный к нескольким именам хоста.