RootCA SSL y un certificado apache para todos los dominios???

[garzy]

Buenas, he seguido la guía para habilitar acesso https SSL, creando una entidad certificadora, y bien, funciona genial para el dominio principal, pero para los subdominios no. Realmente la encriptación funciona para todos, dominios y subdominos, sin embargo, me gustaría que si los usuarios se descargan el certificado RootCA.crt y lo añaden a sus certificados de confianza, el navegador no se queje cuando se acceda a un subdominio u otro dominio del servidor, ya que pone:

"El certificado sólo es vádil para midominio.com", y el usuario debe añadir una excepción para usar el certificado. Estaría genial que esto no pasara nunca.

He estado leyendo bastante por ahí sobre openssl y he visto que se podría solucionar poniendo como CommonName *.midominio.com, pero claro, ésto solo valdría para un dominio en cuestión y sus subtominios, si quiero alojar otro dominio con https entonces tendría de nuevo el mismo problema.

¿Alguna solución?

Voy a seguir unos pasos que he encontrado en un blog, a ver que ocurre. Según pone el truco sería editar el archivo openssl.cnf, desdomentando la siguiente línea y añadiendo la información a continuación:

subjectAltName=DNS:*,DNS:*.example1.com,DNS:*.example2.com,DNS:12.34.56.78

yo voy a probar sin el .example2.com, porque no es plan de poner 40 dominios en ésta línea (por poner un ejemplo), así que a ver si con el *, el *.dominioprincipal.com y la ip del servidor puedo llegar a alguna conclusión.

Luego os cuento que tal me fué....por si a alguien le pudiera interesar...

[garzy]

Bueno señores, he de decir que he tenido ÉXITO TOTAL con los pasos propuestos, aquí detallo los cambios respecto a la guía de ispcp

editar openssl.conf y descomentar la línea subjectAltName, poniendo lo siguiente:

subjectAltName=DNS:*,DNS:*.dominioprincipal.com,DNS:ip_de_mi_servidor

Después, al crear la RootCA, cuando pide CommonName, en lugar de poner el dominio o lo que sea ponemos un asterisco (*), sólamente un asterisco.

Luego creamos un sólo sertificado, server.key.pem, server.cert.mep y server.req.pem, cuando pida CommonName también le ponemos el asterisco (*). Lo autofirmados y listo, ahora ese certificado nos vale para todos los dominios, subdominios y también para todos los servidores, apache, courier, postfix, proftdp, y los que queráis.

No hace falta generar más certificados, con ese vale para todo todo, luego una vez que los usuarios importen el RootCA.crt y lo añadan a la zona de confianza, no aparecerá el molesto mensaje de que no se confía en el destino y que se debe añadir una excepción.

Probado además con otros dominios que no tienen nada que ver con el dominioprincipal. VA DE LUJO!!.

P.D: Dentro del almacén de certificados de iexplore o firefox, veréis que aparece de nombre de nuestro CA un asterisco (*), igual si en el CommonName de la RootCA ponéis un nombre también funcione (siempre que luego el server.crt lo generéis con commonName = *). Yo lo voy a dejar así porque llevo pegándome un tiempo con esto y ahora a que funciona voy a dejar de seguir trasteando, pero si os funciona me lo comentaís para saberlo.

Un saludo!!

[kurgans]

Por si necesitas certificados para tus clientes.

Son gratuitos, echae un ojo a los howto para instalar y activar dependiendo de tu sistema.

https://www.startssl.com

Un saludo