Я запускаю сервер "myserver.net", на якому є піддомени "a.myserver.net" і "b.myserver.net".
Створюючи (самопідписані) SSL-сертифікати, я повинен створювати один для кожного піддомену, що містить FQDN, навіть якщо ці субдомени є лише vhosts.
OpenSSL дозволяє лише одне "загальне ім'я", яке стосується домену. Чи є можливість створити сертифікат, дійсний для всіх субдоменів домену?
Відповіді:
Так, використовуйте * .myserver.net як загальну назву.
Це називається символом символів, і існує велика кількість знань із цим ключовим словом.
Ось один із них: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- довідка
Оновлення: якщо ви також хочете, щоб cert відповідав кореневому домену (myserver.net), тоді ви повинні використовувати розширення Subject Alternative Name. При генерації cert за допомогою opensh введіть '* .myserver.net / CN = myserver.net' як загальну назву.
Сумісно досить добре , якщо у вас немає старовинного браузера.
Як і FYI, існує ще один вид сертифіката, який також називається Сертифікатом уніфікованого зв'язку. Шаблон може бути виданий лише для, *.domain.comале сертифікат UCC дозволяє перелічити до 100 повністю кваліфікованих доменних імен (FQDN) під будь-яким доменом. Основна причина отримати одну з них полягає в тому, що Microsoft не надто захоплюється символами для таких речей, як контролери домену MS, Exchange тощо.
https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908
Уніфікований сертифікат зв'язку (UCC) - це сертифікат SSL, який захищає декілька доменних імен та декілька імен хостів у межах доменного імені. UCC дозволяє захистити основне доменне ім’я та до 99 додаткових альтернативних імен суб'єктів (SAN) в одному сертифікаті. UCC ідеально підходять для Microsoft® Exchange Server 2007, Exchange Server 2010 та Microsoft Live® Communications Server.
UCC сумісні з спільним хостингом. Однак інформація про печатку сайту та сертифікат "Видано на" буде містити лише основне доменне ім'я. Зверніть увагу, що будь-які вторинні облікові записи хостингу також будуть вказані в сертифікаті, тому, якщо ви не хочете, щоб сайти відображалися "пов'язаними" один з одним, ви не повинні використовувати цей тип сертифікатів.
Основним недоліком UCC є те, що ви повинні перелічити всі свої домени наперед (макіяж цього не вимагає). Якщо список колись зміниться, вам доведеться отримати новий сертифікат. Між іншим, Namecheap (лише один я знаю, що це робить) пропонує розширену валідаційну UCC (ви платите за домен, а це означає, що 100 доменних сертифікатів ДУЖЕ дорогі), що є єдиним способом мати сертифікат EV для більш ніж одного домену , оскільки ніхто не пропонує EV Wildcards.
Це дійсне питання. На жаль, з того, що я розумію, протоколи ніколи не припускали власника домену мати можливість підписувати сертифікати лише для субдоменів.
Ви або для будь-якого, або нічого. Оскільки обмеження в обсягах не виникає, коли ви є КА.
Дурне, але так воно і є. Просто купіть окремий сертифікат для кожного домену, який ви маєте $$$, це правильно для кожного, тому не переймайтеся намаганням захистити вбудовані пристрої, які ви продаєте.