Microsoft Certification Services : Web Enrollment with Alternate Name

Certyfikaty to potężna tarcza. Stojący za protokołem ssl kryptosystem RSA daje mocną gwarancję pochodzenia danych i konkretną identyfikację osoby/maszyny z którą się komunikujemy. Problem jednak pojawia się wtedy, gdy pod jednym adresem IP, pod jednym domyślnym portem ssl 443 chcemy umieścić więcej niż jedną stronę. Gdy potrzebujemy więcej nazw dns dla naszych portali. Dlaczego? Ponieważ „Nazwa Tematu Certyfikatu” (Certificate Subject Name) może zawierać tylko jedną nazwę. I w przypadku certyfikatów ssl jest to nazwa dns. Oczywiście dla innych zastosowań może być to inna nazwa.
Szukając jakiejś wskazówki odnośnie metody utworzenia certyfikatu opiewającego na większą ilość nazw, zwróciłem się w stronę Windows Certificates Web Enrollment Service. Kreator w sumie przyjemny, szybciutko się wypełnia formularz, formatka activeX tworzy żądanie i wysyła do serwera. Jednak nic o zaawansowanych zastosowaniach nie ma tam wspomniane.
Po głębszym dochodzeniu odnalazłem pole żądania opisane jako „Atrybuty”. Niestety jak na złość w takich sytuacjach nigdzie na wierzchu dokumentacji do tego pola nie było. Po żmudnych poszukiwaniach udało mi się odnaleźć stronę. Dociekliwym polecam lekturę, tutaj przytaczam sedno sprawy.
Mianowicie pole to umożliwia dodanie do żądania dowolnych pól atrybutów zdefiniowanych standardem x509. Niestety, jak to często bywa, i w tym przypadku składnia nie jest wcale oczywista. Aby nasz certyfikat mógł poświadczać więcej niż jedną nazwę umieszczoną na tym samym porcie pod tym samym adresem IP musimy skorzystać z atrybutu „Alternatywnej Nazwy Tematu Certyfikatu” (Certificate Subject Alternate Name).
Na tę okoliczność Panowie z Redmont przygotowali następującą składnię:

1
san:dns=dns.name[&dns=dns.name]

na przykład:

1
san:dns=wawszczak.pr0.pl

czy

1
san:dns=wawszczak.pr0.pl&dns=poezja.pr0.pl

dla certyfikatu poświadczającego witrynę główną pr0.pl.
Aby jednak wszystko chodziło poprawnie nie należy zapomnieć o dodaniu do SAN także nazwy głównej witryny przedstawionej w polu CN (Common Name) certyfikatu.

Podsumowując, wraz z prostym interfacem Web’owym znów otrzymujemy bogatą funkcjonalność, szkoda tylko że właściwie w wersji instant.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.