是否允許常量.*.example.com 的 SSL 證書？

我們有一個案例，希望為以下使用者提供 SSL 證書：

auth.SOME_ID.example.com

但是，會有多個 SOME_ID 值。是否允許SSL 萬用字元證書auth.*.example.com，或者萬用字元必須是最高級別的子域？

auth.*.example.com不是 DNS 中的有效名稱。萬用字元標籤必須是最左邊的標籤，並且不能超過一個。

各種 CA 和瀏覽器是否關心它是否是無效的 DNS 名稱完全是另一個問題（X.509 證書中的 DN 欄位應該是 X.500 目錄路徑，因此那裡的所有 DNS 名稱一開始都是橫向的)，我認為它已經得到了充分的回答。

你不可以做這個。實際上，證書 DNS 名稱中只能有一個萬用字元，並且必須位於最左側的位置。

一些選項：

1. 在auth您的環境中創建一個保留名稱，然後設計您的系統以使用SOME_ID.auth.example.com（*.auth.example.com是一個有效的萬用字元證書）。
2. 設計您的服務以使用前綴，因此名稱處於同一級別：

auth-SOME_ID.example.com. 然後一個簡單的*.example.com萬用字元證書將覆蓋您。 3. 建構基礎架構以根據需要從 LetsEncrypt.org 等提供商處為auth.SOME_ID.example.com您需要的特定地址請求新證書。

還有其他的。例如，您可以成為自己的證書頒發機構……儘管如果您希望這些證書被公開信任，這幾乎肯定比它的價值更麻煩。要點是您需要尋找另一種方法來完成此任務。這需要一些思考，但這並非不可能。

引用自：https://serverfault.com/questions/830561