Ssl-Certificate
SSL 萬用字元證書 + SAN 以匹配萬用字元部分的多個特定子域
假設我擁有域 domainname.com,以及在該域上設置多個網站作為子域的內容,但這些網站還使用幾個特殊端點作為進一步的子域,我可以將它們全部放在 1 個 SAN + 萬用字元 SSL 證書上嗎?提供者可能支持創建所述證書
即我要保護什麼:
domainname.com siteXXX.domainname.com (where siteXXX refers to the sub sites token) www.domainname.com api.domainname.com mail.domainname.com www.siteXXX.domainname.com api.siteXXX.domainname.com mail.siteXXX.domainname.com
所以我在想我需要一些看起來像的東西
domainname.com *.domainname.com (covers siteXXX, api, www, mail) www.*.domainname.com (covers www.siteXXX) api.*.domainname.com (covers api.siteXXX) mail.*.domainname.com (covers mail.siteXXX)
標準甚至允許這樣做,我不確定,因為我只能找到將萬用字元組件作為最低級別子域的範例,而不是中級子域。
即使您使用這些 SAN 頒發證書,它們也不會在瀏覽器或任何遵循 PKI 最佳實踐的應用程序上驗證這些域(例如,從 IETF閱讀此 RFC )。
您正在考慮作為該證書所涵蓋的所有域的合法所有者,但是如果瀏覽器接受了該證書的證書
www.*.com
怎麼辦?我擁有
www.zip.com
,但這不應該讓我能夠頒發也可以驗證的證書www.amazon.com
。
萬用字元 SSL 證書僅涵蓋其註冊名稱上的子域。
*.domain.com
SSL 證書將涵蓋 下的任何內容,domain.com
但不涵蓋domain.com
. 所以,它不會覆蓋second.first.domain.com
.儘管萬用字元證書不涵蓋多個級別的子域,但您可以將其作為 SAN 添加到證書中。為此,請諮詢您的證書頒發者以了解如何執行此操作。大多數人會允許這樣做。您只需添加帶有另一個星號的子域。因此,我可以將 SAN 添加
*.first.domain.com
到證書中,這將涵蓋我的second.first.domain.com
域。它還涵蓋了它下面的任何內容。並且一定要添加根域本身,因為萬用字元證書不包括它(我認為)。因此,針對您的問題,您可以獲得萬用字元證書保護
*.domainname.com
使用 SAN
domainname.com *.siteXXX.domainname.com
我希望這有幫助!