Answers:
是的,通配符证书的通用名称应为* .yourdomain.com。
基本上,“通用名称”是说明证书适用于哪个域的内容,因此必须指定实际域。
说明:不应该“包含”站点的域名,而应该是站点的域。我想您的问题没有什么区别,我只是想澄清一下,以防万一对于域名应该是什么或证书将用于什么有误解。
实际上,您应该使用证书部分中的dnsName条目subjectAltName来指定FQDN,而不是的CN部分subject。使用subject这个目的已经废弃了,因为RFC 2818已经发表在2000年报价3.1节:
如果存在类型为dNSName的subjectAltName扩展名,则该扩展名必须用作标识。否则,必须使用证书的“主题”字段中的(最特定的)“公共名称”字段。尽管使用通用名称是现有做法,但已弃用,鼓励证书颁发机构改为使用dNSName。
subject在服务器证书验证的上下文中与内容相关的唯一情况是,如果在中不dnsName包含,则subjectAltName在撰写本文时已过时17年。
如RFC 6125的7.2节所示,不赞成使用通配符证书:
本文档指出,通配符'*'不应包含在显示的标识符中,而应由应用程序客户端检查(主要是为了与已部署的基础结构向后兼容)。
对几种服务使用相同的私钥通常被认为是不好的做法。如果其中一项服务遭到破坏,则来自其他服务的通信将受到威胁,您将必须更换所有服务的密钥(和证书)。
我建议将RFC 6125作为此问题的良好信息来源。
dnsName可以包含通配符域。另外,subject在那种情况下应该怎么办?