8

我们已经有的通配符证书*.mycompany.com。我们的网络具有只能在内部访问的主机。它们都属于该internal.mycompany.com子域。有一个主机名server.internal.mycompany.com用于其上部署了通配符证书的专用服务器。

当我访问Web服务器时，出现主机名不匹配错误。我是否真的必须获得另一个通配符证书，*.internal.mycompany.com或者是否有另一种（免费！

security ssl-certificate subdomain domain

— 拉斐尔·布加杰夫斯基（Rafael Bugajewski）
source

2

获得此答案的最佳方法是拨打您的ssl提供程序，并询问他们对此是否有任何解决方案，如果我对某些内容有疑问并且在提供程序中有一些付费帐户，这就是我会做的。尽管据我所知，不可能将为您的主域名发行的通配符用于子域的子域名，但您需要创建新证书。。

— Pratap 2014年

2

您可以出于内部目的部署免费的自签名根证书。

— JamesRyan 2014年

@JamesRyan：请查看我对已接受答案的评论，以及为什么我不认为自签名证书是解决方案。

— 拉斐尔·布加杰夫斯基

我刚收到Comodo的答复：“如果您需要为您的子域之一安装在其他服务器上，则需要再次从服务器生成CSR，然后与…联系以替换CSR并重新颁发证书。一旦获得新证书，请尝试为internal.mycompany.com安装该新证书，然后重新颁发该证书不会影响以前的安装。”

— 拉斐尔·布加杰夫斯基

15

是的，您将必须购买另一张证书*

星号通配符*将仅与解析的FQDN中的1个标签匹配。

此行为在DNS标签匹配和回退到星号标签的说明中反映了RFC 4592第3.3节。

如果只需要保护.internal.mycompany.com.名称空间下的单个端点，则不需要通配符证书，只需购买常规的单主题证书即可。

*） CA /浏览器论坛对公共证书颁发的基本要求 确实允许在证书的SAN扩展中使用通配符名称，因此从技术上讲，单个通配符证书可能对多个子域上的通配符匹配有效，但是我从未见过这种类型的广告在任何地方都可以买到，我认为它过于昂贵

— Mathias R. Jessen
source

当我运行自己的CA时，我必须确保所有证书都已部署在所有客户端上，因为我的目标是尽可能简化用户体验。从已经受信任的CA购买证书时，只需确保将所有内容都部署在服务器上。不过，仅在五年内，几百美元对于内部使用来说是一笔巨款。我想念什么吗？

— 拉斐尔·布加杰夫斯基

2

好吧，从这个角度来看，五年来减轻头痛的几百美元是花生:-)

— Mathias R. Jessen 2014年

3

如果您具有活动目录，则可以自动向域中的内部用户推出自签名的根证书，然后该过程对用户是透明的。

— JamesRyan 2014年

@JamesRyan：我们的环境中没有任何Windows服务器，但这很有趣。最后，我忍无可忍，拿出信用卡，只是为* .internal.mycompany.com购买了另一张证书，现在一切正常。感谢您的帮助。

— 拉斐尔·布加杰夫斯基

3

根据WildCard SSL证书安全协议，它仅允许保护一级域，该一级域还包括您的主域，例如domainname.com和domain.domainname.com。它允许无限的子域安全，但是它们必须是第一级域。

如果要保护以domain.domain.domainname.com格式（其技术称为第二级子域名）格式的子域名，则必须具有另一个通配SSL证书以专门保护该子域名。

— 杰克·阿德利（Jake Adley）
source

1

通配符SSL证书只能保护单级子域。如果您具有为* .mycompany.com颁发的通配符SSL，则它将保护mycompany.com及其所有子域。

如果您的要求是保护二级子域，那么您应该为* .internal.mycompany.com创建CSR（在这种情况下，mycompany.com将在浏览器中收到域名不匹配警告，因此您需要购买标准SSL mycompany.com的证书）

可以使用单个多域证书来保护整个网站。使用多域SSL证书，您可以保护多个网站，子域和多级子域。

多域SSL证书也称为SAN SSL证书，并将每个条件作为一个单独的SAN名称进行计数。

您应该评估在mycomapny.com和* .internal.mycompany.com下创建了多少子域，这将有助于选择正确的证书产品。

在这里已经说明过的详细情况- 二级子域的通配符SSL证书

— 杰森·帕姆斯（Jason Parms）
source

我是否必须为子域购买第二个通配符证书？