IT-блог компании "ЛанКей" » pki http://www.lankey.ru/blog Системный интегратор. Комплексные решения по построению ИТ-инфраструктуры предприятия. Sat, 28 Jan 2012 13:58:00 +0000 en hourly 1 http://wordpress.org/?v=3.0.1 Цифровой сертификат для нескольких доменных имен http://www.lankey.ru/blog/2009/08/14/cifrovoi-sertifikat-dlya-neskolkix-domennyx-imen/ http://www.lankey.ru/blog/2009/08/14/cifrovoi-sertifikat-dlya-neskolkix-domennyx-imen/#comments Fri, 14 Aug 2009 14:15:47 +0000 Ярослав Никифоров http://blogs.lankey.ru/?p=17 Всем известно, что для работы web-сайта по SSL необходимо наличие сертификата. В сертификате зафиксировано имя сервера, которому он выдан, при попытке обратиться к сайту не по тому имени, которое прописано в сертификате, браузер выдает ошибку безопасности.

Однако, иногда бывает необходимо, чтобы один и тот же сайт был бы доступен по нескольким путям – например, www.company.ru и company.ru, или даже autodiscover.company.ru (такое часто необходимо для работы технологии Exchange Autodiscover). Но к одному сайту можно привязать лишь один сертификат.

На помощь приходит такая вещь, как Subject Alternative Name – специальное поле в сертификате, которое содержит набор имен, соответствующих данному сертификату.

Для того, чтобы выдать серверу такой сертификат, необходимо прежде всего настроить службу Certification Authority, разрешив ей выдавать сертификаты, содержащие поля SAN. Если этого не сделать, то поля SAN из запроса будут проигнорированы, и сертификат будет привязан лишь к полю CN (Common Name).

Для разрешения выдачи сертификатов с полем SAN необходимо запустить на компьютере, содержащем службу Certification Authority, следующую команду:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

Результат выполнения команды certutil

после чего перезапустить службу Certification Authority:

net stop certsvc
net start certsvc

После этого можно формировать запрос на сертификат, например, открыв Certificate Web Enrollment и создав запрос на сертификат шаблона Web Server.

В поле Attributes: запроса необходимо указать DNS-имена сайтов, к которым будет относиться данный сертификат, в следующем виде:

san:dns=имя_сервера_1&dns=имя_сервера_2

Причем, первым в списке должно идти то же имя, которое мы указываем как Common Name – то есть, основное имя сертификата.
Например, для сертификата, относящегося к сайтам company.ru, mail.company.ru и autodiscover.company.ru, причем основным является имя mail.company.ru, эта строчка будет выглядеть так:

san:dns=mail.company.ru&dns=company.ru&dns=autodiscover.company.ru

Формирование запроса на сертификат

Отправляем запрос на сервер, и получаем требуемый сертификат.

Сертификат с альтернативными именами

В Windows Server 2008 и 2008 R2 можно запросить такой сертификат с помощью оснастки MMC «Сертификаты». Для этого:

Выбираем Request New Certificate в хранилище сертификатов компьютера.

Запрос сертификата через оснастку MMC

Затем указываем тип запрашиваемого сертификата. Как видно, сертификат Web Server просто так не выдается – нужно указать дополнительные параметры, а именно имя сервера. Щелкаем на предлагаемую ссылку.

Выбор типа запрашиваемого сертификата

В открывшемся окне нам надо указать имена сервера, к которым будет привязан наш сертификат. Первичное, главное имя сертификата задается в пункте Subject Name в виде Common Name. А требуемые нам вторичные имена – в виде DNS в пункте Alternative Name. Главное – не забыть среди вторичных имен указать и главное.

Ввод главного и альтернативных имен для сертификата

Все! нажимаем OK, проходим далее и получаем сертификат, привязанный к нескольким именам хоста.

]]> http://www.lankey.ru/blog/2009/08/14/cifrovoi-sertifikat-dlya-neskolkix-domennyx-imen/feed/ 0