确定SSL证书是否支持通配符子域？

8

希望这是正确的堆栈。如果没有，请引导我到正确的堆栈。

我现在正在与一个客户端一起工作，我需要知道他们的SSL证书是否支持通配符域。他们身边的工程师并不知道答案，恐怕要花很长时间才能找出答案。

有没有一种方法可以基于浏览器中可见的证书来知道这一点？

ssl-certificate

— 格伊斯
source

6

ssl证书绑定到一个域名中-因此只需检查证书，如果列出的域是* .domain.com，则它是一个通配符-如果该域是domain.com，则它是特定于该域的。

— l0ft13
source

谢谢。如果我在其主页上检查证书，其格式为* .domain.com。如果我检查他们的登录页面，则证书显示为login.domain.com。另外，在另一个https页面ui.domain.com中，证书中的公用名被列为ui.domain.com。那么这是否意味着所有子域都被* .domain.com覆盖，或者它们的站点每个部分都有单独的证书？

— Geuis 2012年

看起来他们拥有一个通配符证书和一些常规证书

4

这可以通过检查SSL主题中的公用名来完成。您可以openssl在* NIX客户端上使用bash命令。

例如，google.com和www.google.com使用两个不同的SSL。第一个是通配符，第二个是特定于域的。

$ echo | openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -subject | grep -o "CN=.*" | cut -c 4-
*.google.com
$ echo | openssl s_client -connect www.google.com:443 2>/dev/null | openssl x509 -noout -subject | grep -o "CN=.*" | cut -c 4-
www.google.com

— 史蒂夫·罗宾斯
source