Korzystam z serwera „myserver.net”, który ma poddomeny „a.myserver.net” i „b.myserver.net”.
Podczas tworzenia (samopodpisanych) certyfikatów SSL muszę utworzyć jeden dla każdej subdomeny zawierającej nazwę FQDN, nawet jeśli te subdomeny to tylko vhosty.
OpenSSL zezwala tylko na jedną „wspólną nazwę”, którą jest dana domena. Czy istnieje możliwość utworzenia certyfikatu, który będzie ważny dla wszystkich poddomen domeny?
źródło
Podobnie jak FYI, istnieje inny rodzaj certyfikatu, zwany także Unified Communications Certificate. Symbol wieloznaczny można wydać tylko w przypadku,
*.domain.com
ale certyfikat UCC pozwala na wyświetlenie maksymalnie 100 w pełni kwalifikowanych nazw domen (FQDN) w dowolnej domenie. Głównym powodem uzyskania jednego z nich jest to, że Microsoft nie jest zbytnio zainteresowany wieloznacznikami dla rzeczy takich jak kontrolery domen MS, Exchange itp.https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908
Główną wadą UCC jest to, że musisz wymienić wszystkie swoje domeny z góry (symbole wieloznaczne tego nie wymagają). Jeśli lista kiedykolwiek się zmieni, będziesz musiał uzyskać nowy certyfikat. Nawiasem mówiąc, Namecheap (tylko jeden wiem, że to robi) oferuje Extended Validation UCC (płacisz za domenę, co oznacza, że certyfikat 100 domen jest BARDZO drogi), co jest jedynym sposobem na posiadanie certyfikatu EV dla więcej niż jednej domeny , ponieważ nikt nie oferuje EV Wildcards.
źródło
To ważne pytanie. Niestety z tego, co rozumiem, protokoły nigdy nie zamierzały, aby właściciel domeny mógł podpisywać certyfikaty tylko dla subdomen.
Jesteś albo CA dla czegokolwiek, albo nic. Gdy jesteś urzędem certyfikacji, nie ma żadnych ograniczeń zakresu.
Głupie, ale tak już jest. Po prostu kup osobny certyfikat dla każdej domeny, którą posiadasz $$$, to prawda dla każdej domeny, więc nie zawracaj sobie głowy próbą zabezpieczenia sprzedawanych urządzeń wbudowanych.
źródło