Czy mogę użyć tego samego certyfikatu wieloznacznego dla * .domain.com i domain.com

Odpowiedzi:

11

Wydaje mi się, że * .domain.com i tak faktycznie narusza RFC (myślę, że tylko ryś narzeka :)

Utwórz certyfikat z domain.com jako CN i * .domain.com w polu subjectAltName:dNSNamenazw - to działa.

W przypadku openssl dodaj to do rozszerzeń:

subjectAltName          = DNS:*.domain.com
MikeyB
źródło
Awww, właśnie go wypróbowałem i to nie działa, przynajmniej w Firefoxie.
Nieznany
Szczegół: Upewnij się, że * .domena.com znajduje się w temacie NazwaAlwer:
dNSName
@Supermathie, jak to zrobić w wierszu polecenia?
Nieznany
Nie możesz tego zrobić bezpośrednio w wierszu poleceń, ale możesz użyć opcji -extfile i -extensions.
MikeyB
+1 ... w ten sposób obsługujemy nasze certyfikaty wieloznaczne. Nie mogę jednak pochwalić, jak to zrobić za pomocą openssl.
Doug Luxem
7

Niestety nie możesz tego zrobić. Zasady obsługi symboli wieloznacznych w subdomenach są podobne do zasad dotyczących plików cookie w subdomenach.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Aby sobie z tym poradzić, musisz uzyskać dwa certyfikaty, jeden dla drugiego, *.domain.coma drugi dla niego domain.com. Musisz użyć dwóch oddzielnych adresów IP, a dwa hosty vhosts osobno obsługują te domeny.

Dave Cheney
źródło
2
Możesz to absolutnie zrobić - cały czas to robisz - patrz powyższa odpowiedź. Odbywa się to za pomocą CN i alternatywnego rozszerzenia nazwy podmiotu. techbrahmana.blogspot.com/2013/10/…
John Kloian
4

Symbole wieloznaczne w tych dniach będą miały * .domena.com i domena.com w polu alternatywnej nazwy podmiotu (SAN). Na przykład spójrz na certyfikat SSL wieloznaczny quora.com

Zobaczysz

Alternatywne nazwy podmiotu: * .quora.com, quora.com

Jog
źródło
Właśnie to potwierdziłem na jednym z moich certyfikatów wieloznacznych (z Comodo) - non-www działało dobrze.
ceejayoz
2

Prawdopodobnie nie jest to odpowiedź, której szukasz, ale jestem w 99% pewien, że nie ma sposobu. Przekieruj http://domain.com/ na https://www.domain.com/ i po prostu użyj * .domain.com jako certyfikatu SSL. Jest daleki od ideału, ale mam nadzieję, że powinien obejmować większość przypadków, którymi jesteś zainteresowany. Jedyną inną alternatywą jest użycie różnych adresów IP dla domain.com i www.domain.com. Następnie możesz użyć różnych certyfikatów dla każdego adresu IP.

znak
źródło
Masz rację. „domena.com” jest subdomianem „.com”, więc symbolem wieloznacznym, który by na to działał, byłoby „* .com”. Dlatego certyfikat dla * .domain.com działa dla „www.domain.com”, ale nie dla „www.acct.domain.com”.
sysadmin1138
1

Nie, ponieważ mają one zupełnie inną przestrzeń nazw. przekierowanie tld również nie jest opcją, ponieważ SSL jest szyfrowaniem transportowym, musi on zdekodować ssl, zanim apache na przykład zobaczy nawet host żądań, aby go przekierować.

Również na marginesie: foo.bar.domain.com nie jest również ważny dla znaku zastępczego (firefox z pamięci jest jedynym, który na to zezwala).

Brendan
źródło