MacroSeguridad.org - Seguridad PKI con Tokens USB y Smartcards (Match-on-Card)

Bienvenido a Macroseguridad

| |

- Quienes Somos
- Compromiso
- Misión y Visión
- Valores
- Desafío
- Especialización
- Base de Operaciones
- Marcas Referentes
- Certificados SSL
- Tokens USB
- HSM
- Code Signing
- Time Stamping
- UserLock
- FileAudit
- Tokens OTP
- SoftTokens
- SmartCards
- Lectores de SmartCards
- Lectoras Biométricas
- Protección de Software
- Identidad Digital
- Identidad Digital
- Firma Digital
- Identidad Biométrica
- AFIP - Precios de transferencia
- AFIP - Clave Fiscal Nivel 4
- Sociedad por Acciones Simplificada
- Suprema Corte de Buenos Aires
- Resguardo de Información
- Protección de Software
- Licenciamiento Seguro
- Salud
- Gobiernos
- Financieros/Bancos
- Construcción
- Distribución
- Software
- Hidrocarburos
- Educación
- Socios
- Conocimiento & Know How
- Ventas y Marketing
- Soporte
- Formulario de soporte
- Soporte SSL
- Download Software
- Download Manuales

Soporte / Certificados SSL

Validación de Certificados Multidominio | Multidimensional

Para validar un certificado de tipo Multidominio o Multidimensional, deberá realizar un proceso de validación de dominio más amplio que el que Ud. realiza para un certificado SSL Unidominio o Wildcard.

Un certificado Multidominio permite en un único certificado asegurar múltiples dominios, los cuales pueden ser tanto subdominios de un mismo dominio, como nombres de dominio distintos (Top Level Domain). Puede asegurar más de 250 dominios (campos SANs) en un certificado de estas características.

Un certificado Multidimensional es un certificado Multidominio pero adiciona la posibilidad de incluir campos SANs Wildcard al mismo certificado.

Como primer paso, deberá generar el CSR para su certificado Multidominio o Multidimensional. No requiere incluir los SANs dentro del CSR, simplemente debe detallarlos en el mail que envía al equipo de validación indicando en el mismo el método de validación de dominio para cada uno de los campos SANs detallados.

Por lo tanto, este CSR lo deberá generar con un Common Name en particular que Ud. determine, mientras que todo el resto de campos que serán incluidos dentro de su certificado que pueden referir a dominios únicos, subdominios, o Wildcard, serán considerados SANs (Subject Alternative Names) del certificado que adquirió.

Como siguiente paso, ya teniendo el CSR, deberá verificar el mismo. Puede hacerlo desde el sitio de Macroseguridad, haciendo click aquí. Realizada dicha verificación se mostrará la información contenida en el mismo.
Verá información como el nombre de su organización, el common name con el que fue generado el CSR, su lugar de procedencia, entre otros campos. Este paso es de vital importancia para extraer (copiar) los Hashes a utilizar en el proceso de validación de control de dominio. Estos hashes no cambiarán en toda la validación de cada uno de los campos SANs incluidos en el certificado.
En la imagen de abajo se muestra la pantalla que verá tras verificar el CSR, donde visualizará todos los datos recientemente mencionados. En especial, están marcados los Hashes que debe copiar y mantener durante todo el proceso de validación.

Cuando termine de realizar la decodificación del CSR, tendrá la opción de elegir el método de validación de dominio que Ud. desee.
Por un lado, se le proveerán los correos electrónicos con los que podría validar su dominio (el COMMON NAME utilizado en la generación del CSR) mediante el método de validación por email. En caso de no poseer ninguno de los correos definidos por la CA (Autoridad Certificante), podrá elegir un método de validación alternativo, que es la validación de dominio por archivo de texto, o por generación del registro DNS CNAME.

El método elegido solo servirá en primera instancia para la validación del Common Name que utilizó al generar el CSR.
Por esa razón, deberá, en pos de probar el control de dominio de cada uno de los SANs que detalló en el mail remitido al equipo de validación de Macroseguridad, seleccionar el método de validación correspondiente, sea mediante las casillas de correo con las que podrá validar el o los SANs que tengan el mismo top level domain, o bien a través del método de archivo de texto o generación de registro DNS CNAME, que en cualquiera de ambos casos, requerirán validar cada SAN individualmente.

En la siguiente imagen verá lo que aparece a continuación de la información extraída de su CSR.
Estas son las casillas de email con las que podrá validar únicamente el Common Name con el que generó el CSR y sus subdominios. En caso de preferir un método alternativo, podrá moverse a la pantalla que le permitirá o bien generar un archivo de texto para publicar en el FTP de su sitio web ("Validar por Archivo"), o para la creación de un registro DNS CNAME ("Validar por CNAME").

A continuación, podrá revisar con mayor detalle las consideraciones para llevar adelante la validación de un certificado de tipo Multidominio o uno de tipo Multidimensional.

Si el certificado que adquirió es un Multidominio, podrá utilizar cualquiera de los 3 métodos disponibles:

En caso de utilizar la validación mediante email con las cuentas predefinidas de la CA, será suficiente con llevar adelante la acción correspondiente (control de dominio) una vez por cada campo SAN relativo a un Top Level Domain diferente, habiendo notificado previamente a Macroseguridad el correo con el que validará cada top level domain.
Es decir, podrá validar todos los campos SANs o subdominios de un mismo nombre de dominio de una sola vez.
Haga click aquí para acceder a una herramienta que le muestra que casillas de correo son las pre-validadas y autorizadas para ser utilizadas con este método si desea aplicarlo para el proceso de DCV de alguno de los campos SAN que tenga que validar.

Si por el contrario va a utilizar la validación por archivo de texto, deberá llevar adelante la validación del control de dominio de cada uno de los campos SANs incluidos en su certificado.
Haga click aquí para acceder a la pantalla que le permitirá crear el archivo que debe subir al directorio raíz del dominio que usted quiere validar.

De la misma forma, si utiliza la validación mediante la generación de un registro DNS CNAME, deberá crear un registro CNAME por cada SAN que este incluido en el certificado que desea emitir.
Haga click aquí para acceder a la herramienta que le muestra los valores que debe tener en su campo CNAME, y le permitirá generar el registro correspondiente para la validación de algún SAN de su certificado.
Recuerde que debe utilizar los mismos hashes (MD5 y SHA256) obtenidos del CSR original, por lo que en cada generación del registro CNAME solamente actualizará el nombre del campo SAN correspondiente.

Si el certificado que adquirió es un Multidimensional, deberá tomar las siguientes consideraciones para llevar adelante la validación:

No podrá utilizar la validación por archivo de texto para el/los campos SANs Wildcard de su certificado. Para más información acerca de esta restricción haga click aquí.
Por lo tanto, para los campos SANs Wildcard que se desee incluir en la validación de un certificado solo se realizará el control de dominio por medio de email (de los prevalidados por la CA) o por DNS CNAME.

Al igual que en el Multidominio, si valida por mail alcanza con verificar una cuenta de correo una vez por cada SAN relativo a un Top Level Domain diferente, habiendo notificado previamente a Macroseguridad el correo con el que validará cada Top Level Domain.

Si valida por archivo de texto, método que no permite validar campos SANs Wildcards, deberá llevar adelante la validación de control de dominio de cada campo SAN individualmente.
Del mismo modo, si valida por CNAME, tendrá que generar un registro particular para cada uno de los campos SANs de su certificado.

Hay un solo caso donde podrá englobar más de un SAN en un único registro CNAME. Esto se da al querer validar un campo SAN Wildcard a través de la creación de un registro DNS CNAME. Para ello, simplemente registre el host del dominio de ese campo SAN sin necesidad de incluir el *.
Por ejemplo, para el SAN *.macroseguridad.biz, solo deberá crearse el registro CNAME para macroseguridad.biz, permitiendo validar ambos campos en un solo registro.
Atención: esto no aplica para los SANs que pudiesen ser subdominios de ese nombre de host.

| | | | | | |