我计划为我的域名(如 *.example.com)获取通配符证书,但我听到关于它是否也适用于二级子域名(如 *.subdomain.example.com)的不同报告——报告称它在 Firefox 中有效,但在其他浏览器中无效。
如果我希望它适用于所有浏览器,我是否需要为 *.subdomain.example.com 购买通配符证书?
有没有地方可以提供关于其工作原理以及适用于哪些浏览器的更明确的信息?
答案1
通配符证书的匹配是逐级进行的,因此如果您想要一个适用于 和 的证书foo.sub.example.com
,bar.example.com
则需要一个同时具有 和 替代名称的证书*.sub.example.com
。*.example.com
如果您还想匹配,baz.xyzzy.example.com
则需要*.*.example.com
(而不是*.sub.example.com
)。这一切都变得相当不愉快,您可能需要与您的 SSL 证书提供商进行彻底的交谈(并为其提供丰厚的支票簿),因为我无法想象这是他们每天要处理的事情。
答案2
您要么需要为每个级别获取单独的通配符证书,要么让您的 SSL 提供商在 *.example.com 的通配符证书中放入多个级别或特定主机名作为 SAN(如果您可以找到提供商来执行此操作)。