Ssl-Certificate

使用域萬用字元證書時從主機名中刪除域

  • January 13, 2022

我正在建立一個包含多個伺服器的小型網路,例如 vaultwarden、jenkins 和 gitlab。

我想將 https 與 CA 簽名證書一起使用。為此,我購買了一個域(比如說 foobar.com)並且已經獲得了 *.hq.foobar.com 的萬用字元證書。

當我訪問https://vaultwarden.hq.foobar.com/時,我的瀏覽器沒有任何抱怨,並且證書有效。

不出所料,如果我訪問 https://vaultwarden/,瀏覽器會警告潛在的安全風險,因為頒發的證書僅對 *.hq.foobar.com 中的域有效。

我的問題是,有沒有什麼辦法可以避免在我的網路中的所有服務使用如此長的名稱(gitlab.hq.foobar.com、jenkins.hq.foobar.com…),同時保持公開可信的證書?

我想避免使用自簽名證書,或創建私有 CA 並不得不信任我網路中所有電腦中的任何一個。

公司如何管理這個?我以前工作的每個地方都有自簽名證書,這對我來說似乎並不安全,但很方便。

我的問題是,有沒有什麼辦法可以避免在我的網路中的所有服務使用如此長的名稱(gitlab.hq.foobar.com、jenkins.hq.foobar.com…),同時保持公開可信的證書?

不。Internet PKI 中不允許使用 NetBIOS(僅限主機名)。每個證書都是針對指定域中的主機名(或萬用字元情況下的所有主機)頒發的。而且您必須證明該域的所有權。

在您的情況下,https://vaultwarden/被視為單標籤vaultwarden域,而不是主機名。也不允許使用單標籤域,您無法證明其所有權,也無法購買。這意味著您不能使用從全球受信任的 CA 獲得的證書來執行此操作。

與其使用自簽名證書,不如使用僅在您管理的環境中受信任的私有 CA 會很方便。

引用自:https://serverfault.com/questions/1089894