答案1
我似乎记得 *.domain.com 实际上违反了 RFC(但我认为只有 lynx 会抱怨:)
创建一个以 domain.com 作为 CN 且subjectAltName:dNSName
名称字段为 *.domain.com 的证书 - 即可。
对于 openssl,将其添加到扩展中:
subjectAltName = DNS:*.domain.com
答案2
不幸的是你不能这样做。处理子域名上的通配符的规则与子域名的 cookie 规则类似。
www.domain.com matches *.domain.com
secure.domain.com matches *.domain.com
domain.com does not match *.domain.com
www.domain.com does not match domain.com
为了解决这个问题,您必须获得两个证书,一个用于 ,*.domain.com
另一个用于domain.com
。您将需要使用两个单独的 IP 地址和虚拟主机来分别处理这些域。
答案3
如今,通配符将在主题备用名称字段 (SAN) 中包含 *.domain.com 和 domain.com。例如,请查看 quora.com 的通配符 SSL 证书
你会看见
主题备用名称:*.quora.com、quora.com
答案4
不是,因为它们是完全不同的名称空间。重定向 tld 也不是一种选择,因为 SSL 是一种传输加密,它必须在 apache 之前解码 ssl,才能看到请求主机并进行重定向。
另外需要注意的是:foo.bar.domain.com 对于通配符证书也是无效的(从内存来看,只有 Firefox 允许这样做。