我可以对 *.domain.com 和 domain.com 使用相同的通配符认证吗

我可以对 *.domain.com 和 domain.com 使用相同的通配符认证吗

您可以使用 *.domain.com 作为名称来创建 SSL 证书。

但不幸的是,这并不包括https://domain.com

有没有什么办法可以解决这个问题?

答案1

我似乎记得 *.domain.com 实际上违反了 RFC(但我认为只有 lynx 会抱怨:)

创建一个以 domain.com 作为 CN 且subjectAltName:dNSName名称字段为 *.domain.com 的证书 - 即可。

对于 openssl,将其添加到扩展中:

subjectAltName          = DNS:*.domain.com

答案2

不幸的是你不能这样做。处理子域名上的通配符的规则与子域名的 cookie 规则类似。

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

为了解决这个问题,您必须获得两个证书,一个用于 ,*.domain.com另一个用于domain.com。您将需要使用两个单独的 IP 地址和虚拟主机来分别处理这些域。

答案3

如今,通配符将在主题备用名称字段 (SAN) 中包含 *.domain.com 和 domain.com。例如,请查看 quora.com 的通配符 SSL 证书

你会看见

主题备用名称:*.quora.com、quora.com

答案4

不是,因为它们是完全不同的名称空间。重定向 tld 也不是一种选择,因为 SSL 是一种传输加密,它必须在 apache 之前解码 ssl,才能看到请求主机并进行重定向。

另外需要注意的是:foo.bar.domain.com 对于通配符证书也是无效的(从内存来看,只有 Firefox 允许这样做。

相关内容