Jak utworzyć certyfikat SSL dla więcej niż jednej subdomeny?

20

Korzystam z serwera „myserver.net”, który ma poddomeny „a.myserver.net” i „b.myserver.net”.

Podczas tworzenia (samopodpisanych) certyfikatów SSL muszę utworzyć jeden dla każdej subdomeny zawierającej nazwę FQDN, nawet jeśli te subdomeny to tylko vhosty.

OpenSSL zezwala tylko na jedną „wspólną nazwę”, którą jest dana domena. Czy istnieje możliwość utworzenia certyfikatu, który będzie ważny dla wszystkich poddomen domeny?

polemon
źródło

Odpowiedzi:

27

Tak, użyj * .myserver.net jako nazwy pospolitej.

Nazywa się to znakami zastępczymi i istnieje wiele poradników dotyczących tego słowa kluczowego.

Oto jeden z nich: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- certyfikat

Aktualizacja: jeśli chcesz, aby cert również pasował do domeny głównej (myserver.net), powinieneś użyć rozszerzenia Alternatywna nazwa podmiotu. Podczas generowania certyfikatu za pomocą openssh wpisz „* .myserver.net / CN = myserver.net” jako Common Name.

Kompatybilny jest wystarczająco dobry , chyba że masz starą przeglądarkę.

RVS
źródło
Ok, ale czy certyfikat jest ważny również dla domeny głównej („myserver.net”), czy tylko dla wszystkich subdomen?
polemon
1
Nie, ale możesz dodać alternatywną nazwę podmiotu: użyj „* .myserver.net / CN = myserver.net” jako common.name. Zobacz tutaj: artins.org/ben/... i tutaj: digicert.com/subject-alternative-name-compatibility.htm
kupię
Link jest martwy. Czy możesz to zaktualizować?
allprog
1

Podobnie jak FYI, istnieje inny rodzaj certyfikatu, zwany także Unified Communications Certificate. Symbol wieloznaczny można wydać tylko w przypadku, *.domain.comale certyfikat UCC pozwala na wyświetlenie maksymalnie 100 w pełni kwalifikowanych nazw domen (FQDN) w dowolnej domenie. Głównym powodem uzyskania jednego z nich jest to, że Microsoft nie jest zbytnio zainteresowany wieloznacznikami dla rzeczy takich jak kontrolery domen MS, Exchange itp.

https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

Unified Communications Certificate (UCC) to certyfikat SSL, który zabezpiecza wiele nazw domen i wiele nazw hostów w obrębie nazwy domeny. UCC pozwala zabezpieczyć podstawową nazwę domeny i do 99 dodatkowych alternatywnych nazw podmiotów (SAN) w jednym certyfikacie. UCC są idealne dla Microsoft® Exchange Server 2007, Exchange Server 2010 i Microsoft Live® Communications Server.

UCC są kompatybilne z hostingiem współdzielonym. Jednak pieczęć witryny i informacje „Wydane dla” będą zawierać tylko nazwę podstawowej domeny. Pamiętaj, że wszelkie dodatkowe konta hostingowe również będą wymienione w certyfikacie, więc jeśli nie chcesz, aby witryny wyglądały na „połączone” ze sobą, nie należy używać tego typu certyfikatu.

Główną wadą UCC jest to, że musisz wymienić wszystkie swoje domeny z góry (symbole wieloznaczne tego nie wymagają). Jeśli lista kiedykolwiek się zmieni, będziesz musiał uzyskać nowy certyfikat. Nawiasem mówiąc, Namecheap (tylko jeden wiem, że to robi) oferuje Extended Validation UCC (płacisz za domenę, co oznacza, że ​​certyfikat 100 domen jest BARDZO drogi), co jest jedynym sposobem na posiadanie certyfikatu EV dla więcej niż jednej domeny , ponieważ nikt nie oferuje EV Wildcards.

Machavity
źródło
-1

To ważne pytanie. Niestety z tego, co rozumiem, protokoły nigdy nie zamierzały, aby właściciel domeny mógł podpisywać certyfikaty tylko dla subdomen.

Jesteś albo CA dla czegokolwiek, albo nic. Gdy jesteś urzędem certyfikacji, nie ma żadnych ograniczeń zakresu.

Głupie, ale tak już jest. Po prostu kup osobny certyfikat dla każdej domeny, którą posiadasz $$$, to prawda dla każdej domeny, więc nie zawracaj sobie głowy próbą zabezpieczenia sprzedawanych urządzeń wbudowanych.

Adam Anderson
źródło
2
Nie, to źle. Po pierwsze, zobacz drugą odpowiedź tutaj, po drugie, przeczytaj, czym tak naprawdę jest urząd certyfikacji. Mam urząd certyfikacji tylko dla mojej domeny wewnętrznej. Istnieją bardzo ograniczenia zakresu dla urzędów certyfikacji.
HopelessN00b,