Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Certifikát s více jmény
srpen 23
Certifikát s více jmény

Na svém starém webu jsem měl článek o tom, jak vydat certifikát s více jmény. Protože mě ho experti z www.pipni.cz smazali bez toho, aby mě o tom dopředu informovali​, je to tu znovu v trošku jiné formě.

Kupte si veřejný certifikát

Nejprve je vhodné říci, že nejběžnější použití certifikátů je zřejmě pro veřejné přístupy na web servery, případně mail servery a vzdálenou plochu. Zvažte, jestli se vám chce drbat s vlastní certifikační autoritou, nebo si takový certifikát prostě a jednoduše rovnou koupíte.

Na www.godaddy.com stojí 5 jmen cca 80 USD za rok. Na www.startssl.com dostanete jedno jméno dokonce zadarmo. Vykašlete se na české autority i na www.verisign.com. České autority jsou moc nové a nevěří jim mnoho zařízení, cena tomu příliš neodpovídá. Verisign je sice důvěryhodný posledních 10 let, ale kdo dneska používá mobil z roku 2001? Za to mi těch 300 USD ročně za jedno jméno opravdu nestojí. Já preferuju www.godaddy.com, je to ideální poměr cena/výkon za důvěryhodnost od roku cca 2005. A věří jim i Windows Mobile 5.0.

Poznámka: Prosim vás, SHA-2 není schopen ověřovat ani Windows Mobile 6.5. Tvrzení, že Windows XP a Windows 2003 to "podporují", je taky pohádka. Takové certifikáty jsou na nic. Nejste NSA, abyste se museli bát používat SHA-1.

Subject Alternative Name rozšíření

V certifikátech může být více jmen. V políčku Subject může být tak zvané Common Name (zkratka CN). Mohlo by jich tam být i více, ale potom záleží na klientovi, jak se k takovému certifikátu zachová. Někdy se pak klienti dívají jen na první jméno, nebo třeba jen na poslední, ale rozhodně všichni nekontrolují všechna jména. Sem se tedy dává obvykle jen jedno jméno.

Více jmen je možno uložit do rozšíření certifikátů X509 v3 které se nazývá Subject Alternative Name (SAN). V tomhle políčku můžete mít DNS jmen kolik chcete a všichni klienti, pokud tedy tomuto poli vůbec rozumí, vyhodnocují všechna definovaná jména.

Pozor, je vhodné dát tedy do Subject jméno, které budou používat klienti, kteří by náhodou nerozumněli SAN políčku. Dále pozor, do SAN políčka je vhodné dát všechna jména, tedy včetně toho, které je už v Subject. Například Internet Explorer 6 pole Subject i SAN nejprve "sečetl" a potom to zkontroloval všechno dohromady. Novější prohlížeče ale už používají pouze SAN, pokud je přítomno, a totálně ignorují obsah políčka Subject (to by mohlo být klidně i prázdné).

Manuální (offline) požadavek do CA

Certifikační autorita (CA, AD CS - Active Directory Certificate Services, nebo jen Certificate Services) nepřijímá ve výchozí konfiguraci požadavky obsahující SAN rozšíření jinak než přes DCOM rozhraní. Musíte tedy nejprve tuto možnost pro autoritu povolit a restartovat ji:

CERTUTIL -setreg Policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
NET STOP certsvc & NET START certsvc

Webový interface ve Windows 2003

Pokud provozujete certifikační autoritu (CA, Certification Authority) na Windows Server 2003, můžete si nainstalovat i webové rozhraní autority. Přes webové rozhraní se dá zaslat požadavek na Web Server certfikát. Do políčka Name vložte to, co chcete mít v certifikátu v položce Subject. Zřejmě tedy to nějako "hlavní" jméno.

Pokud v certifikátu chcete mít více jmen, musíte na to použít polícko Attributes. Toto pole může definovat dodatečný obsah, tedy i to tak zvané Subject Alternative Name (SAN) rozšíření certifikátů. Do něho si vložte jmen kolik chcete, musí to být ale typu DNS. Takže do pole Attributes zadejte například následující:

SAN:DNS=www.sevecek.com&DNS=hq.sevecek.com&DNS=mail.sevecek.com

Jen pro zajímavost, co kdybyste chtěli do certifikátu vložit i IP adresu? Rozšíření SAN může obsahovat také položku typu IPAddress, ale tu nepoužívejte! Internet Explorer tomu nerozumí. Prostě použijte opět typ DNS:

SAN:DNS=www.sevecek.com&DNS=hq.sevecek.com&DNS=mail.sevecek.com&DNS=212.24.152.94

GUI rozhraní ve Windows 7

Pokud máte nějakou stanici s Windows 7 nebo rovnou server s Windows Server 2008 a novějšími, generování požadavku je hračka přes GUI rozhraní. Spusťte si MMC konzoli, přidejte do ní snap-in zvaný Certificates (Certifikáty) a když kliknete pravým tlačítkem a vyberete buď Submit new request, nebo Create custom request, můžete si alternativní jména zadat rovnou v grafice.

Rozdíl mezi dvěma zmíněnými možnostmi (Submit new request, nebo Create custom request) je ten, že první odešle požadavek rovnou na CA, ale vyžaduje to, aby ta stanice byla členem domény. Druhá možnost vám jen připraví .REQ soubor, který si musíte na CA odnést a naimportovat sami.

A to je pro dnešek vše :-)

Comments

There are no comments for this post.

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments