SSL 多级子域通配符

Posted 2023-02-26

【中文标题】SSL 多级子域通配符

【英文标题】：SSL Multilevel Subdomain Wildcard

【发布时间】：2014-12-31 21:45:57

【问题描述】：

我为 *.example.com 购买了通配符证书。现在，我必须保护 *.subdomain.example.com。是否可以为我的通配符证书创建子证书？

如果是，我该怎么做？

【问题讨论】：

另见 How do you sign Certificate Signing Request with your Certification Authority 和 How to create a self-signed certificate with openssl? 您还需要将自签名证书放在适当的信任库中。

【参考方案1】：

不，这是不可能的。名称中的通配符只反映一个标签，通配符只能在最左边。因此*.*.example.org 或www.*.example.org 是不可能的。而*.example.org 既不会匹配example.org 也不会匹配www.subdomain.example.org，只会匹配subdomain.example.org。

但是您可以在同一个证书中拥有多个通配符名称，即您可以在同一个证书中拥有*.example.org 和*.subdomain.example.org。

【讨论】：

我认为这篇文章补充了这个关于多级通配符的答案：Can You Create A Wildcard SSL Certificate For Two Levels?

【参考方案2】：

不可能使用单个通配符证书来保护多级子域。如果为 *.mydomain.tld 颁发通配符证书，那么它只能保护 *.mydomain.com 的一级子域。

要保护您的二级子域，您有两种选择。

为 *.sub1.mydomain.tld 购买另一个通配符证书。在这种情况下，您需要管理两个单独的通配符证书。

您可以使用多域通配符证书，其中最多可以添加 100 个多个域或子域。

例如，

*.mydomain.tld *.sub1.mydomain.tld *.sub2.mydomain.tld *.anydomain.com

它将保护您的多个域和多级子域，并减少您对多个证书管理的麻烦。

【参考方案3】：

根据https://www.digicert.com/news/2010-9-1-new-wildcard-features/ 7 年前的文章：

DigiCert Wildcard Plus 证书可以使用以下方式保护任何子域 主题备用名称 (SAN)。传统通配符证书 对于 *.example.com 将只保护一级子域 example.com，例如 mail.example.com。 DigiCert 的通配符 Plus 证书使用 SAN 来保护 example.com 的任何子域， 包括多级子域，例如 mail.internal.example.com。 有了这个新功能，所有子域都可以用一个单一的 来自 DigiCert 的 Wildcard Plus 证书。基域本身， example.com，作为 SAN 自动包含在每个 Wildcard Plus 中 证书以及，这增加了兼容性并保护 带有或不带有“www”的 example.com。

【参考方案4】：

不，您不能为通配符创建子证书。

-> 您的通配符证书适用于*.mydomain.tld，因此根据通配符 SSL 指南，您可以保护第一级子域。意味着anything.mydomain.tld 可以得到保护。

-> 但是如果你想用它来保护*.subdomain.mydomain.tld，这是针对二级子域的，但是通配符证书不能保护二级子域。

解决方案

-> 您需要为您的二级子域*.subdomain.mydomain.tld再购买一张通配符 SSL 证书