我可以对* .domain.com和domain.com使用相同的通配符认证吗?

Answers:

11

我似乎回想起* .domain.com实际上还是违反了RFC(尽管我认为只有lynx抱怨:)

创建一个使用domain.com作为CN的证书,并在subjectAltName:dNSName名称字段中使用* .domain.com创建证书-有效。

对于openssl,请将其添加到扩展中:

subjectAltName          = DNS:*.domain.com
米奇
source
噢,我只是试过了,至少在firefox中不起作用。
未知
详细信息:确保* .domain.com位于subjectAltName:dNSName字段中
MikeyB 2009年
@Supermathie我如何在命令行中做到这一点?
未知
您不能直接在命令行上执行此操作,但是可以使用-extfile和-extensions。
MikeyB
+1 ...这就是我们处理通配符证书的方式。我不能赞扬如何使用openssl做到这一点。
Doug Luxem
7

不幸的是,您不能这样做。处理子域上的通配符的规则类似于有关子域的cookie的规则。

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

要处理此问题,您必须获得两个证书,一个用于*.domain.com,另一个用于domain.com。您将需要使用两个单独的IP地址,两个虚拟主机分别处理这些域。

戴夫·切尼
source
2
您绝对可以做到这一点-它一直都在做-参见上述答案。这是使用CN和主题备用名称扩展名来完成的。 techbrahmana.blogspot.com/2013/10/…–
约翰·
4

这些天的通配符在使用者备用名称字段(SAN)中具有* .domain.com和domain.com。例如,看看quora.com的通配符SSL证书

你会看见

主题替代名称:* .quora.com,quora.com

瑜伽士
source
刚刚通过我自己的通配符证书之一(来自Comodo)证实了这一点-非www很好。
ceejayoz
2

可能不是您要找的答案,但我99%肯定没有办法。将http://domain.com/重定向到https://www.domain.com/,并仅使用* .domain.com作为SSL证书。它远非完美,但希望可以涵盖您感兴趣的大多数情况。唯一的替代方法是为domain.com和www.domain.com使用不同的IP地址。然后,您可以为每个IP使用不同的证书。

标记
source
你是对的。“ domain.com”是“ .com”的子域名,因此适用于此的通配符将是“ * .com”。这就是为什么* .domain.com的证书可用于“ www.domain.com”而不是“ www.acct.domain.com”的原因。
sysadmin1138
1

否,因为它们是完全不同的名称空间。重定向tld也不可行,因为SSL是一种传输加密,它必须在apache之类的ssl之前对ssl进行解码,甚至可以看到请求主机对其进行重定向。

另请注意:foo.bar.domain.com也不适用于通配符证书(内存中的Firefox是唯一允许这样做的证书。

布伦丹
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.