Ssl-Certificate

SSL 萬用字元證書 + SAN 以匹配萬用字元部分的多個特定子域

  • October 15, 2017

假設我擁有域 domainname.com,以及在該域上設置多個網站作為子域的內容,但這些網站還使用幾個特殊端點作為進一步的子域,我可以將它們全部放在 1 個 SAN + 萬用字元 SSL 證書上嗎?提供者可能支持創建所述證書

即我要保護什麼:

domainname.com
siteXXX.domainname.com (where siteXXX refers to the sub sites token)
www.domainname.com
api.domainname.com
mail.domainname.com
www.siteXXX.domainname.com
api.siteXXX.domainname.com
mail.siteXXX.domainname.com

所以我在想我需要一些看起來像的東西

domainname.com
*.domainname.com (covers siteXXX, api, www, mail)
www.*.domainname.com (covers www.siteXXX)
api.*.domainname.com (covers api.siteXXX)
mail.*.domainname.com (covers mail.siteXXX)

標準甚至允許這樣做,我不確定,因為我只能找到將萬用字元組件作為最低級別子域的範例,而不是中級子域。

即使您使用這些 SAN 頒發證書,它們也不會在瀏覽器或任何遵循 PKI 最佳實踐的應用程序上驗證這些域(例如,從 IETF閱讀此 RFC )。

您正在考慮作為該證書所涵蓋的所有域的合法所有者,但是如果瀏覽器接受了該證書的證書www.*.com怎麼辦?

我擁有www.zip.com,但這不應該讓我能夠頒發也可以驗證的證書www.amazon.com

萬用字元 SSL 證書僅涵蓋其註冊名稱上的子域。*.domain.comSSL 證書將涵蓋 下的任何內容,domain.com但不涵蓋domain.com. 所以,它不會覆蓋second.first.domain.com.

儘管萬用字元證書不涵蓋多個級別的子域,但您可以將其作為 SAN 添加到證書中。為此,請諮詢您的證書頒發者以了解如何執行此操作。大多數人會允許這樣做。您只需添加帶有另一個星號的子域。因此,我可以將 SAN 添加*.first.domain.com到證書中,這將涵蓋我的second.first.domain.com域。它還涵蓋了它下面的任何內容。並且一定要添加根域本身,因為萬用字元證書包括它(我認為)。

因此,針對您的問題,您可以獲得萬用字元證書保護

*.domainname.com

使用 SAN

domainname.com
*.siteXXX.domainname.com

我希望這有幫助!

引用自:https://serverfault.com/questions/878432