Чи можу я використовувати ту саму сертифікат підстановки для * .domain.com та domain.com

13

Ви можете зробити сертифікат SSL, використовуючи * .domain.com як ім'я.

Але, на жаль, це не стосується https://domain.com

Чи є для цього виправлення?

— Невідомо
джерело

11

Здається, я згадую, що * .domain.com фактично порушує RFC (я думаю, що тільки рись скаржиться :)

Створіть сертифікат з domain.com як CN та * .domain.com у полі subjectAltName:dNSNameімен - це працює.

Для openssl додайте це до розширень:

subjectAltName          = DNS:*.domain.com

— MikeyB
джерело

Awww, я просто спробував це, і це не працює, принаймні, у firefox.

— Невідомо

Докладно: Переконайтеся, що * .domain.com знаходиться в теміAltName: dNSName, поле

— MikeyB

@Supermathie Як це зробити в командному рядку?

— Невідомо

Ви не можете зробити це безпосередньо в командному рядку, але ви можете використовувати -extfile та -extensions.

— MikeyB

+1 ... саме так ми поводимось із сертифікатами підстановки. Я не можу оцінити, як це зробити з openssl.

— Дуг Люксем

7

На жаль, ви не можете цього зробити. Правила поводження з підстановками на поддоменах аналогічні правилам щодо файлів cookie для субдоменів.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Щоб вирішити це, вам доведеться отримати два сертифікати, один для, *.domain.comа другий для domain.com. Вам потрібно буде використовувати дві окремі ІР-адреси, а два джойстики обробляють ці домени окремо.

— Дейв Чейні
джерело

2

Ви можете абсолютно це зробити - це робиться весь час - див. Вище відповідь. Це здійснюється за допомогою CN та розширення назви альтернативного імені. techbrahmana.blogspot.com/2013/10/…

— Джон Клоян

4

Підкреслювальні символи в ці дні матимуть * .domain.com та domain.com у полі альтернативного імені теми (SAN). Наприклад, погляньте на підстановку SSL-символу quora.com

Ти побачиш

Тема Альтернативні назви: * .quora.com, quora.com

— Йоги
джерело

Щойно підтвердив це на одній із моїх власних символів wildcard (від Comodo) - non-www працював чудово.

— ceejayoz

2

Можливо, це не відповідь, яку ви шукаєте, але я на 99% впевнений, що немає способу. Перенаправляйте http://domain.com/ на https://www.domain.com/ і просто використовуйте * .domain.com як SSL-сервер. Це далеко не ідеально, але, маємо сподіватися, охоплює більшість випадків, які вас цікавлять. Єдиною іншою альтернативою є використання різних IP-адрес для domain.com та www.domain.com. Тоді ви можете використовувати різні сертифікати для кожного IP.

— Позначити
джерело

Ви праві. "domain.com" є субдоміаном ".com", тому підстановочний знак, який би працював для цього, був би "* .com". Ось чому сертифікат * .domain.com працює для "www.domain.com", але не "www.acct.domain.com".

— sysadmin1138

1

Ні, тому що вони абсолютно різні простору імен. перенаправлення tld не є варіантом, оскільки SSL є транспортним шифруванням, він повинен декодувати ssl, перш ніж apache, наприклад, навіть зможе побачити хост запиту, щоб перенаправити його.

Також в якості побічної примітки: foo.bar.domain.com також не дійсний для символу wildcard (firefox з пам'яті - це єдиний, що дозволить це зробити.

— Брендан
джерело