SSL 多级子域通配符

Posted

技术标签:

【中文标题】SSL 多级子域通配符【英文标题】:SSL Multilevel Subdomain Wildcard 【发布时间】:2014-12-31 21:45:57 【问题描述】:

我为 *.example.com 购买了通配符证书。现在,我必须保护 *.subdomain.example.com。是否可以为我的通配符证书创建子证书?

如果是,我该怎么做?

【问题讨论】:

另见 How do you sign Certificate Signing Request with your Certification Authority 和 How to create a self-signed certificate with openssl? 您还需要将自签名证书放在适当的信任库中。 【参考方案1】:

不,这是不可能的。名称中的通配符只反映一个标签,通配符只能在最左边。因此*.*.example.orgwww.*.example.org 是不可能的。而*.example.org 既不会匹配example.org 也不会匹配www.subdomain.example.org,只会匹配subdomain.example.org

但是您可以在同一个证书中拥有多个通配符名称,即您可以在同一个证书中拥有*.example.org*.subdomain.example.org

【讨论】:

我认为这篇文章补充了这个关于多级通配符的答案:Can You Create A Wildcard SSL Certificate For Two Levels?【参考方案2】:

不可能使用单个通配符证书来保护多级子域。如果为 *.mydomain.tld 颁发通配符证书,那么它只能保护 *.mydomain.com 的一级子域。

要保护您的二级子域,您有两种选择。

为 *.sub1.mydomain.tld 购买另一个通配符证书。在这种情况下,您需要管理两个单独的通配符证书。

您可以使用多域通配符证书,其中最多可以添加 100 个多个域或子域。

例如,

*.mydomain.tld *.sub1.mydomain.tld *.sub2.mydomain.tld *.anydomain.com

它将保护您的多个域和多级子域,并减少您对多个证书管理的麻烦。

【讨论】:

【参考方案3】:

根据https://www.digicert.com/news/2010-9-1-new-wildcard-features/ 7 年前的文章:

DigiCert Wildcard Plus 证书可以使用以下方式保护任何子域 主题备用名称 (SAN)。传统通配符证书 对于 *.example.com 将只保护一级子域 example.com,例如 mail.example.com。 DigiCert 的通配符 Plus 证书使用 SAN 来保护 example.com 的任何子域, 包括多级子域,例如 mail.internal.example.com。 有了这个新功能,所有子域都可以用一个单一的 来自 DigiCert 的 Wildcard Plus 证书。基域本身, example.com,作为 SAN 自动包含在每个 Wildcard Plus 中 证书以及,这增加了兼容性并保护 带有或不带有“www”的 example.com。

【讨论】:

【参考方案4】:

不,您不能为通配符创建子证书。

-> 您的通配符证书适用于*.mydomain.tld,因此根据通配符 SSL 指南,您可以保护第一级子域。意味着anything.mydomain.tld 可以得到保护。

-> 但是如果你想用它来保护*.subdomain.mydomain.tld,这是针对二级子域的,但是通配符证书不能保护二级子域。

解决方案

-> 您需要为您的二级子域*.subdomain.mydomain.tld再购买一张通配符 SSL 证书

【讨论】:

以上是关于SSL 多级子域通配符的主要内容,如果未能解决你的问题,请参考以下文章

带有通配符子域的 Apache SSL 重写

ssl 通配符子域 www.sub.domain.com

通配符 SSL/TLS 证书

企业网站选择哪个品牌的通配符SSL证书比较好

默认虚拟主机覆盖通配符子域虚拟主机

如何在 Apache 中使用 SSL 配置多个子域?