Domain-Name-System
是否允許常量.*.example.com 的 SSL 證書?
我們有一個案例,希望為以下使用者提供 SSL 證書:
auth.SOME_ID.example.com
但是,會有多個 SOME_ID 值。是否允許SSL 萬用字元證書
auth.*.example.com
,或者萬用字元必須是最高級別的子域?
auth.*.example.com
不是 DNS 中的有效名稱。萬用字元標籤必須是最左邊的標籤,並且不能超過一個。各種 CA 和瀏覽器是否關心它是否是無效的 DNS 名稱完全是另一個問題(X.509 證書中的 DN 欄位應該是 X.500 目錄路徑,因此那裡的所有 DNS 名稱一開始都是橫向的),我認為它已經得到了充分的回答。
你不可以做這個。實際上,證書 DNS 名稱中只能有一個萬用字元,並且必須位於最左側的位置。
一些選項:
- 在
auth
您的環境中創建一個保留名稱,然後設計您的系統以使用SOME_ID.auth.example.com
(*.auth.example.com
是一個有效的萬用字元證書)。- 設計您的服務以使用前綴,因此名稱處於同一級別:
auth-SOME_ID.example.com
. 然後一個簡單的*.example.com
萬用字元證書將覆蓋您。 3. 建構基礎架構以根據需要從 LetsEncrypt.org 等提供商處為auth.SOME_ID.example.com
您需要的特定地址請求新證書。還有其他的。例如,您可以成為自己的證書頒發機構……儘管如果您希望這些證書被公開信任,這幾乎肯定比它的價值更麻煩。要點是您需要尋找另一種方法來完成此任務。這需要一些思考,但這並非不可能。