Як створити сертифікат SSL для більш ніж одного піддомену?


20

Я запускаю сервер "myserver.net", на якому є піддомени "a.myserver.net" і "b.myserver.net".

Створюючи (самопідписані) SSL-сертифікати, я повинен створювати один для кожного піддомену, що містить FQDN, навіть якщо ці субдомени є лише vhosts.

OpenSSL дозволяє лише одне "загальне ім'я", яке стосується домену. Чи є можливість створити сертифікат, дійсний для всіх субдоменів домену?

Відповіді:


27

Так, використовуйте * .myserver.net як загальну назву.

Це називається символом символів, і існує велика кількість знань із цим ключовим словом.

Ось один із них: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- довідка

Оновлення: якщо ви також хочете, щоб cert відповідав кореневому домену (myserver.net), тоді ви повинні використовувати розширення Subject Alternative Name. При генерації cert за допомогою opensh введіть '* .myserver.net / CN = myserver.net' як загальну назву.

Сумісно досить добре , якщо у вас немає старовинного браузера.


Гаразд, але чи дійсний сертифікат і для кореневого домену ("myserver.net"), або для всіх субдоменів?
полемон

1
Ні, але ви можете додати альтернативну назву теми: використовуйте "* .myserver.net / CN = myserver.net" як загальну назву. Дивіться тут: artins.org/ben/… і тут: digicert.com/subject-alternative-name-compatibility.htm
rvs

Посилання мертва. Чи можете ви її оновити?
allprog

1

Як і FYI, існує ще один вид сертифіката, який також називається Сертифікатом уніфікованого зв'язку. Шаблон може бути виданий лише для, *.domain.comале сертифікат UCC дозволяє перелічити до 100 повністю кваліфікованих доменних імен (FQDN) під будь-яким доменом. Основна причина отримати одну з них полягає в тому, що Microsoft не надто захоплюється символами для таких речей, як контролери домену MS, Exchange тощо.

https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

Уніфікований сертифікат зв'язку (UCC) - це сертифікат SSL, який захищає декілька доменних імен та декілька імен хостів у межах доменного імені. UCC дозволяє захистити основне доменне ім’я та до 99 додаткових альтернативних імен суб'єктів (SAN) в одному сертифікаті. UCC ідеально підходять для Microsoft® Exchange Server 2007, Exchange Server 2010 та Microsoft Live® Communications Server.

UCC сумісні з спільним хостингом. Однак інформація про печатку сайту та сертифікат "Видано на" буде містити лише основне доменне ім'я. Зверніть увагу, що будь-які вторинні облікові записи хостингу також будуть вказані в сертифікаті, тому, якщо ви не хочете, щоб сайти відображалися "пов'язаними" один з одним, ви не повинні використовувати цей тип сертифікатів.

Основним недоліком UCC є те, що ви повинні перелічити всі свої домени наперед (макіяж цього не вимагає). Якщо список колись зміниться, вам доведеться отримати новий сертифікат. Між іншим, Namecheap (лише один я знаю, що це робить) пропонує розширену валідаційну UCC (ви платите за домен, а це означає, що 100 доменних сертифікатів ДУЖЕ дорогі), що є єдиним способом мати сертифікат EV для більш ніж одного домену , оскільки ніхто не пропонує EV Wildcards.


-1

Це дійсне питання. На жаль, з того, що я розумію, протоколи ніколи не припускали власника домену мати можливість підписувати сертифікати лише для субдоменів.

Ви або для будь-якого, або нічого. Оскільки обмеження в обсягах не виникає, коли ви є КА.

Дурне, але так воно і є. Просто купіть окремий сертифікат для кожного домену, який ви маєте $$$, це правильно для кожного, тому не переймайтеся намаганням захистити вбудовані пристрої, які ви продаєте.


2
Ні, це неправильно. По-перше, дивіться іншу відповідь тут, по-друге, читайте про те, що насправді є органом сертифікації. У мене є ЦА лише для мого внутрішнього домену. Існує дуже багато обмежень сфери застосування для ЦО.
HopelessN00b
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.