Current time: 12-25-2024, 04:33 AM Hello There, Guest! (LoginRegister)


Post Reply 
RootCA SSL y un certificado apache para todos los dominios???
Author Message
garzy Offline
Junior Member
*

Posts: 13
Joined: Apr 2009
Reputation: 0
Post: #1
RootCA SSL y un certificado apache para todos los dominios???
Buenas, he seguido la guía para habilitar acesso https SSL, creando una entidad certificadora, y bien, funciona genial para el dominio principal, pero para los subdominios no. Realmente la encriptación funciona para todos, dominios y subdominos, sin embargo, me gustaría que si los usuarios se descargan el certificado RootCA.crt y lo añaden a sus certificados de confianza, el navegador no se queje cuando se acceda a un subdominio u otro dominio del servidor, ya que pone:

"El certificado sólo es vádil para midominio.com", y el usuario debe añadir una excepción para usar el certificado. Estaría genial que esto no pasara nunca.

He estado leyendo bastante por ahí sobre openssl y he visto que se podría solucionar poniendo como CommonName *.midominio.com, pero claro, ésto solo valdría para un dominio en cuestión y sus subtominios, si quiero alojar otro dominio con https entonces tendría de nuevo el mismo problema.

¿Alguna solución?

Voy a seguir unos pasos que he encontrado en un blog, a ver que ocurre. Según pone el truco sería editar el archivo openssl.cnf, desdomentando la siguiente línea y añadiendo la información a continuación:

subjectAltName=DNS:*,DNS:*.example1.com,DNS:*.example2.com,DNS:12.34.56.78

yo voy a probar sin el .example2.com, porque no es plan de poner 40 dominios en ésta línea (por poner un ejemplo), así que a ver si con el *, el *.dominioprincipal.com y la ip del servidor puedo llegar a alguna conclusión.

Luego os cuento que tal me fué....por si a alguien le pudiera interesar...
05-31-2009 07:16 AM
Find all posts by this user Quote this message in a reply
garzy Offline
Junior Member
*

Posts: 13
Joined: Apr 2009
Reputation: 0
Post: #2
RE: RootCA SSL y un certificado apache para todos los dominios???
Bueno señores, he de decir que he tenido ÉXITO TOTAL con los pasos propuestos, aquí detallo los cambios respecto a la guía de ispcp

editar openssl.conf y descomentar la línea subjectAltName, poniendo lo siguiente:

subjectAltName=DNS:*,DNS:*.dominioprincipal.com,DNS:ip_de_mi_servidor

Después, al crear la RootCA, cuando pide CommonName, en lugar de poner el dominio o lo que sea ponemos un asterisco (*), sólamente un asterisco.

Luego creamos un sólo sertificado, server.key.pem, server.cert.mep y server.req.pem, cuando pida CommonName también le ponemos el asterisco (*). Lo autofirmados y listo, ahora ese certificado nos vale para todos los dominios, subdominios y también para todos los servidores, apache, courier, postfix, proftdp, y los que queráis.

No hace falta generar más certificados, con ese vale para todo todo, luego una vez que los usuarios importen el RootCA.crt y lo añadan a la zona de confianza, no aparecerá el molesto mensaje de que no se confía en el destino y que se debe añadir una excepción.

Probado además con otros dominios que no tienen nada que ver con el dominioprincipal. VA DE LUJO!!.

P.D: Dentro del almacén de certificados de iexplore o firefox, veréis que aparece de nombre de nuestro CA un asterisco (*), igual si en el CommonName de la RootCA ponéis un nombre también funcione (siempre que luego el server.crt lo generéis con commonName = *). Yo lo voy a dejar así porque llevo pegándome un tiempo con esto y ahora a que funciona voy a dejar de seguir trasteando, pero si os funciona me lo comentaís para saberlo.

Un saludo!!
05-31-2009 09:31 AM
Find all posts by this user Quote this message in a reply
kurgans Offline
Moderator
*****
Moderators

Posts: 1,565
Joined: Feb 2008
Reputation: 23
Post: #3
RE: RootCA SSL y un certificado apache para todos los dominios???
Por si necesitas certificados para tus clientes.

Son gratuitos, echae un ojo a los howto para instalar y activar dependiendo de tu sistema.

https://www.startssl.com

Un saludo
(This post was last modified: 05-31-2009 05:54 PM by kurgans.)
05-31-2009 05:53 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)