easy-rsa con soporte subjectAltName

[spanish]

Muchas personas piensan que no se puede servir varios hosts virtuales con el protocolo HTTPS desde una única IP, porque el servidor web (Apache o el que sea) parece utilizar un certificado X.509 aleatorio, o el primero que tenga configurado, en lugar del del host virtual que toque, con lo que no coincide el dominio real con el del certificado y el navegador muestra un error.

En realidad lo que pasa es que el cifrado SSL se negocia justo después de establecer la sesión TCP/IP y antes de comenzar con el protocolo HTTP entre navegador y servidor, con lo que éste no sabe a qué dominio (“Host:”) va a acceder el usuario y por tanto qué certificado utilizar.

La solución es utilizar un certificado válido para todos los dominios que sirvamos desde ese servidor, utilizando el atributo subjectAltName.

Ésta es una versión modificada del magnífico script de generación y gestión de certificados X.509 easy-rsa del proyecto OpenVPN, que permite crear certificados para varios dominios usando subjectAltName.

Descargas:

[/spanish]
[english]

Many people think that you can’t serve several webs with the HTTPS protocol using just one IP address and virtual hosts, because the web server (Apache or whichever one you use) seems to use a random X.509 certificate instead of the one configured for each virtual host. If the domain of the certificate the web server chooses doesn’t match the one the user want to access, the web browser shows a security warning which is quite annoying.

The problem is that the SSL negotiation is made right after the TCP/IP session is established and before the HTTP protocol begins, and at this point the web server still doesn’t know what domain (“Host:”) the user wants and which certificate it should use.

The right way to do this is by using a single certificate valid for each and every domain served, by means of the subjectAltName attribute.

The following is a modified version of the great OpenVPN‘s easy-rsa script for the generation and management of X.509 certificates, that allows to create multi-domain certificates with subjectAltName.

Downloads:

[/english]

6 pensamientos en “easy-rsa con soporte subjectAltName”

  1. Hola, podrías hacer un mini-howto, es que me he descargado el archivo, lo descomprimí, seguí tu README, pero al final me genera error…

    Ha estas fechas si sabes algún otro método avisame, gracias y hasta pronto.

Deja un comentario