Мені було просто цікаво, чи обов'язково для сертифікату SSL для wildcard потрібно мати загальне ім’я, яке містить доменне ім’я сайтів, до яких потрібно застосувати сертифікат SSL.
Наприклад, для наступного:
Доменне ім'я: testdomain.com
Субсидії:
Чи обов’язково мені потрібен мій сертифікат підстановки, щоб мати загальну назву *.testdomain.com?
Відповіді:
Так, ваше загальне ім’я має бути * .yourdomain.com для сертифікату підстановки.
В основному, загальне ім'я - це те, що визначає, для якого домену підходить ваш сертифікат, тому він повинен вказати фактичний домен.
Пояснення: воно не повинно "містити" доменне ім'я сайтів, воно повинно бути доменом сайтів. Я здогадуюсь, що у вашому питанні немає різниці, я просто хотів уточнити, на випадок помилкового уявлення про те, яким повинен бути домен або для чого буде використовуватись сертифікат.
Насправді вам слід використовувати dnsNameзаписи в subjectAltNameрозділі сертифіката для вказівки FQDN, а не частини CN subject. Використання subjectдля цієї мети було припинено з моменту публікації RFC 2818 у 2000 році. Цитування розділу 3.1 :
Якщо є розширення typeAltName типу dNSName, ОБОВ'ЯЗКОВО використовуватись як ідентичність. В іншому випадку ОБОВ'ЯЗКОВО використовуватись (найбільш специфічне) поле загального імені в полі Тема сертифіката. Хоча використання загального імені є існуючою практикою, воно застаріле, і органам із сертифікації рекомендується замість цього використовувати dNSName.
Єдиний випадок, коли вміст subjectрелевантних у контексті перевірки сертифікатів сервера - це якщо він не dnsNameвключений до цього subjectAltName, випадок, який був застарілий протягом останніх 17 років на момент написання.
Використання сертифікатів підстановки невикористовується, як показано в розділі 7.2 RFC 6125 :
У цьому документі зазначено, що символ символу «*» НЕ повинен бути включений до представлених ідентифікаторів, але МОЖЕ бути перевірений клієнтами додатків (головним чином задля зворотної сумісності з розгорнутою інфраструктурою).
Використання одного і того ж приватного ключа для декількох служб зазвичай вважається поганою практикою. Якщо одна з послуг буде порушена, зв’язок з іншими службами загрожує небезпекою, і вам доведеться замінити ключ (і сертифікат) для всіх послуг.
Я пропоную RFC 6125 як хороше джерело інформації з цього питання.
dnsNameможе містити домен підстановки. Також, що повинно бути subjectв цьому випадку?
subjectAltNameмістить щонайменше одне dnsName, вміст значень subjectне має значення в контексті перевірки сертифікатів.
Так, Wildcard SSL сертифікат - найкраще рішення відповідно до ваших вимог. Завдяки сертифікату Wildcard ви зможете захистити інформацію свого відвідувача. Не важливо, на яку сторінку вашого веб-сайту подано. Сертифікат Wildcard забезпечує необмежену кількість субдоменів, які мають одне і те ж ім’я домену.
Встановлення одного і того ж сертифікату підстановки для всіх субдоменів та серверів передає вбудований ризик: якщо один сервер або субдомен порушений, усі субдомени можуть бути однаково порушені. Переконайтеся, що ваш веб-сайт захищений різними рівнями захисту від будь-якого зовнішнього та внутрішнього тиску.