我可以为两个不同的域名使用一个具有备用名称的自签名 SSL 证书吗

我可以为两个不同的域名使用一个具有备用名称的自签名 SSL 证书吗

我需要一个自签名证书来覆盖多个 URL,可以用以下内容表示:

*.foo.com
*.faa.fii.bar.com

使用备用名称我设法创建了这样的证书,但在访问时我从浏览器收到证书错误

bla.foo.com

我为 ****.faa.fii.bar.com*** 创建了另一个证书,没有 ****.foo.com***。这次我为其他几个网站提供了备用名称,但都属于 bar.com。
因此通用名称是

*.faa.fii.bar.com

替代名称为:

*.fii.bar.com
*.bar.com
*.fee.bar.com

这对于任何符合这些模式的 URL 都有效,因此a.fii.bar.coma.bar.com适用于证书。但是如果我添加*.foo.com,看起来就像*.bar.com,那么诸如的 URLa.foo.com不会被接受,而 会a.bar.com被接受。
这个限制是如何定义的?

答案1

您面临的问题是,*证书中仅匹配完全限定名称的单个子部分。因此*.example.com匹配a.example.comxyzzy.example.com,但不匹配foo.bar.example.com。要匹配更多级别的 FQDN,您需要添加更多星号,从而导致证书包含大量subjectAltName条目,例如:

*.example.com
*.*.example.com
*.*.*.example.com

等等。

相关内容