SSL 多级子域通配符
Posted
技术标签:
【中文标题】SSL 多级子域通配符【英文标题】:SSL Multilevel Subdomain Wildcard 【发布时间】:2014-12-31 21:45:57 【问题描述】:我为 *.example.com 购买了通配符证书。现在,我必须保护 *.subdomain.example.com。是否可以为我的通配符证书创建子证书?
如果是,我该怎么做?
【问题讨论】:
另见 How do you sign Certificate Signing Request with your Certification Authority 和 How to create a self-signed certificate with openssl? 您还需要将自签名证书放在适当的信任库中。 【参考方案1】:不,这是不可能的。名称中的通配符只反映一个标签,通配符只能在最左边。因此*.*.example.org
或www.*.example.org
是不可能的。而*.example.org
既不会匹配example.org
也不会匹配www.subdomain.example.org
,只会匹配subdomain.example.org
。
但是您可以在同一个证书中拥有多个通配符名称,即您可以在同一个证书中拥有*.example.org
和*.subdomain.example.org
。
【讨论】:
我认为这篇文章补充了这个关于多级通配符的答案:Can You Create A Wildcard SSL Certificate For Two Levels?【参考方案2】:不可能使用单个通配符证书来保护多级子域。如果为 *.mydomain.tld 颁发通配符证书,那么它只能保护 *.mydomain.com 的一级子域。
要保护您的二级子域,您有两种选择。
为 *.sub1.mydomain.tld 购买另一个通配符证书。在这种情况下,您需要管理两个单独的通配符证书。
您可以使用多域通配符证书,其中最多可以添加 100 个多个域或子域。
例如,
*.mydomain.tld *.sub1.mydomain.tld *.sub2.mydomain.tld *.anydomain.com它将保护您的多个域和多级子域,并减少您对多个证书管理的麻烦。
【讨论】:
【参考方案3】:根据https://www.digicert.com/news/2010-9-1-new-wildcard-features/ 7 年前的文章:
DigiCert Wildcard Plus 证书可以使用以下方式保护任何子域 主题备用名称 (SAN)。传统通配符证书 对于 *.example.com 将只保护一级子域 example.com,例如 mail.example.com。 DigiCert 的通配符 Plus 证书使用 SAN 来保护 example.com 的任何子域, 包括多级子域,例如 mail.internal.example.com。 有了这个新功能,所有子域都可以用一个单一的 来自 DigiCert 的 Wildcard Plus 证书。基域本身, example.com,作为 SAN 自动包含在每个 Wildcard Plus 中 证书以及,这增加了兼容性并保护 带有或不带有“www”的 example.com。
【讨论】:
【参考方案4】:不,您不能为通配符创建子证书。
-> 您的通配符证书适用于*.mydomain.tld
,因此根据通配符 SSL 指南,您可以保护第一级子域。意味着anything.mydomain.tld
可以得到保护。
-> 但是如果你想用它来保护*.subdomain.mydomain.tld
,这是针对二级子域的,但是通配符证书不能保护二级子域。
解决方案
-> 您需要为您的二级子域*.subdomain.mydomain.tld
再购买一张通配符 SSL 证书
【讨论】:
以上是关于SSL 多级子域通配符的主要内容,如果未能解决你的问题,请参考以下文章