Pradžia

 Kokiais adresais veikia SSL sertifikatai? Kokius techninius reikalavimus nurodyti SSL sertifikato viešajame pirkime? Koks maksimalus SSL sertifikato galiojimo terminas? Koks SSL sertifikatas tinka Microsoft Exchange el. pašto serveriui?

CSR generavimas

CRT išdavimas

CRT diegimas

CRT atnaujinimas

HTTPS konfigūracija

Kokiais adresais veikia SSL sertifikatai?

SSL sertifikatas veikia tik tais adresais, kurie nurodyti išduoto sertifikato CN ir SAN laukeliuose. CN (angl. Common Name) yra subjekto pavadinimas, kam išduotas sertifikatas. Tai yra 1 tikslus bet kurio lygio domenas (FQDN – angl. Fully Qualified Domain Name). SAN (angl. Subject Alternative Name) yra alternatyvūs subjekto pavadinimai. Jie taip pat surašomi tikslūs po vieną, bet tokių įrašų gali būti ne vienas.

FQDN gali būti pats domenas (pvz.: kriptografija.lt), subdomenas (pvz.: www.kriptografija.lt, zinynas.kriptografija.lt) ir tolimesni subdomenai (pvz.: www.zinynas.kriptografija.lt).

Interneto svetainėms ir el. parduotuvėms skirti SSL sertifikatai CN įraše nurodo tikslų domeną. Tuo adresu SSL sertifikatas ir veiks (pvz.: kriptografija.lt). Kai kurie sertifikatai dar įrašo papildomą SAN adresą prie CN pridėdami arba iš jo atimdami www.. Pavyzdžiui, toks sertifikatas veiktų ir kriptografija.lt, ir www.kriptografija.lt adresais. Jokiais kitais adresais šis sertifikatas neveiks.

Unified Communications SSL sertifikatai leidžia patiems nurodyti SAN įrašų adresus. Pavyzdžiui, tame pačiame SSL sertifikate galime pasirinkti CN įrašą kriptografija.lt ir 3 SAN įrašus kriptografija.lt, www.kriptografija.lt ir zinynas.kriptografija.lt. Būtent tik šiais adresais sertifikatas ir veiks.

Interneto platformoms skirti Wildcard SSL sertifikatai CN įraše domeną nurodo su priešdėliu *.. Toks sertifikatas veikia visais vieno domeno pirmo lygio subdomenais. Pavyzdžiui, *.kriptografija.lt adresu išduotas Wildcard SSL sertifikatas veiktų www.kriptografija.lt, zinynas.kriptografija.lt ir t.t. Tačiau jis neveiktų tolimesnio lygio subdomenais, pvz.: www.zinynas.kriptografija.lt.

Tas pats sertifikatas gali būti naudojamas visuose serveriuose, veikiančiuose tuo pačiu adresu, visais prievadais. Pavyzdžiui, su tuo pačiu SSL sertifikatu kriptografija.lt:443 veikia interneto svetainė, kriptografija.lt:25 veikia el. pašto SMTP serveris, kriptografija.lt:21 veikia FTP serveris ir t.t. Į serverį pakanka įdiegti vieną SSL sertifikatą ir jį galima pajungti visoms serverio tarnyboms.

Nei į CN, nei į SAN laukus negali būti įrašyti FQDN apibrėžimo neatitinkantys interneto adresai. Pavyzdžiui, joks SSL sertifikatas negali veikti tokiais adresais:

  • IP adresas – IP adresai veikia kaip ir domenai, bet jie nėra domenai, todėl jiems negali būti išduotas SSL sertifikatas ir jais negali būti užmegztos šifruoto TLS protokolo jungtys.
  • Privatūs domenai – privatūs domenai nėra fully qualified, jų negalima išspręsti viešame DNS tinkle. Todėl sertifikavimo institucijos negali patvirtinti jų nuosavybės ir išduoti SSL sertifikato. Plačiau: Kaip vyksta privačių adresų ir IP validacija?