具有 DNS 后缀的通配符证书

具有 DNS 后缀的通配符证书

我有一个内部域名,其后缀为(/ 可以)。例如:

server1.mynetwork.ken 也通过 server1 解析

我有一个 mynetwork.ken 的自签名通配符证书。当我到达https://server1.mynetwork.ken证书很好,但是当我去https://server1浏览器抱怨无效的通用名称(这是有道理的)。

解决这个问题最简单的方法是什么?

我应该创建一个全局通配符 * . * 吗?

答案1

解决这个问题最简单的方法是什么?

证书主题必须与您使用的域名匹配。您可以尝试server1在证书中包含它,但最好的方法是实际使用全名来访问网站。

我应该创建一个全局通配符 * . * 吗?

只有最左边的标签可以包含通配符。这意味着*.*不起作用。

答案2

我应该创建一个全局通配符 * . * 吗?

我认为没有任何应用程序会允许您这样做。

您可以通过拥有 www.server1.mynetwork.ken 的 A 记录以及 server1 到 www.server1.mynetwork.ken 的 CNAME 记录来实现此目的。

答案3

最简单的解决方法是

配置您的 Web 服务器以将 http[s]://server1 转发至https://server1.mynetwork.ken

这意味着人们(您)server1\在您的浏览器地址栏中输入内容,您就会自动进入完整网站的 https 版本。

如果这不可能,那么您可以构建一个证书,指定通用名称的任何内容,然后使用扩展字段“备用名称”(一个数组)添加任意数量的别名。通常:

localhost, *.mynetwork.ken, mynetwork.ken

如果有人直接访问,https://server1那么除了获得明确的证书外,您什么也做不了server1。最简单的方法是依靠 http 来捕获“便利”url 情况,并转发到完全合格的 https。

相关内容