我是否必须为子域购买第二个通配符证书?


8

我们已经有的通配符证书*.mycompany.com。我们的网络具有只能在内部访问的主机。它们都属于该internal.mycompany.com子域。有一个主机名server.internal.mycompany.com用于其上部署了通配符证书的专用服务器。

当我访问Web服务器时,出现主机名不匹配错误。我是否真的必须获得另一个通配符证书,*.internal.mycompany.com或者是否有另一种(免费!


2
获得此答案的最佳方法是拨打您的ssl提供程序,并询问他们对此是否有任何解决方案,如果我对某些内容有疑问并且在提供程序中有一些付费帐户,这就是我会做的。尽管据我所知,不可能将为您的主域名发行的通配符用于子域的子域名,但您需要创建新证书。。
Pratap 2014年

2
您可以出于内部目的部署免费的自签名根证书。
JamesRyan 2014年

@JamesRyan:请查看我对已接受答案的评论,以及为什么我不认为自签名证书是解决方案。
拉斐尔·布加杰夫斯基

我刚收到Comodo的答复:“如果您需要为您的子域之一安装在其他服务器上,则需要再次从服务器生成CSR,然后与…联系以替换CSR并重新颁发证书。一旦获得新证书,请尝试为internal.mycompany.com安装该新证书,然后重新颁发该证书不会影响以前的安装。”
拉斐尔·布加杰夫斯基

Answers:


15

是的,您将必须购买另一张证书*

星号通配符*将仅与解析的FQDN中的1个标签匹配。

此行为在DNS标签匹配和回退到星号标签的说明中反映了RFC 4592第3.3节

如果只需要保护.internal.mycompany.com.名称空间下的单个端点,则不需要通配符证书,只需购买常规的单主题证书即可。


*) CA /浏览器论坛对公共证书颁发的基本要求 确实允许在证书的SAN扩展中使用通配符名称,因此从技术上讲,单个通配符证书可能对多个子域上的通配符匹配有效,但是我从未见过这种类型的广告在任何地方都可以买到,我认为它过于昂贵


当我运行自己的CA时,我必须确保所有证书都已部署在所有客户端上,因为我的目标是尽可能简化用户体验。从已经受信任的CA购买证书时,只需确保将所有内容都部署在服务器上。不过,仅在五年内,几百美元对于内部使用来说是一笔巨款。我想念什么吗?
拉斐尔·布加杰夫斯基

2
好吧,从这个角度来看,五年来减轻头痛的几百美元是花生:-)
Mathias R. Jessen 2014年

3
如果您具有活动目录,则可以自动向域中的内部用户推出自签名的根证书,然后该过程对用户是透明的。
JamesRyan 2014年

@JamesRyan:我们的环境中没有任何Windows服务器,但这很有趣。最后,我忍无可忍,拿出信用卡,只是为* .internal.mycompany.com购买了另一张证书,现在一切正常。感谢您的帮助。
拉斐尔·布加杰夫斯基

3

根据WildCard SSL证书安全协议,它仅允许保护一级域,该一级域还包括您的主域,例如domainname.com和domain.domainname.com。它允许无限的子域安全,但是它们必须是第一级域

如果要保护以domain.domain.domainname.com格式(其技术称为第二级子域名)格式的子域名,则必须具有另一个通配SSL证书以专门保护该子域名。


1

通配符SSL证书只能保护单级子域。如果您具有为* .mycompany.com颁发的通配符SSL,则它将保护mycompany.com及其所有子域。

如果您的要求是保护二级子域,那么您应该为* .internal.mycompany.com创建CSR(在这种情况下,mycompany.com将在浏览器中收到域名不匹配警告,因此您需要购买标准SSL mycompany.com的证书)

可以使用单个多域证书来保护整个网站。使用多域SSL证书,您可以保护多个网站,子域和多级子域。

  • mycompany.com
  • mycompany.co.uk
  • internal.mycompany.com
  • * .mycomapany.com
  • server.internal.mycompany.com .anycompany.anytld

多域SSL证书也称为SAN SSL证书,并将每个条件作为一个单独的SAN名称进行计数。

您应该评估在mycomapny.com和* .internal.mycompany.com下创建了多少子域,这将有助于选择正确的证书产品。

在这里已经说明过的详细情况- 二级子域的通配符SSL证书

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.