我需要一个自签名证书来覆盖多个 URL,可以用以下内容表示:
*.foo.com
*.faa.fii.bar.com
使用备用名称我设法创建了这样的证书,但在访问时我从浏览器收到证书错误
bla.foo.com
我为 ****.faa.fii.bar.com*** 创建了另一个证书,没有 ****.foo.com***。这次我为其他几个网站提供了备用名称,但都属于 bar.com。
因此通用名称是
*.faa.fii.bar.com
替代名称为:
*.fii.bar.com
*.bar.com
*.fee.bar.com
这对于任何符合这些模式的 URL 都有效,因此a.fii.bar.com或a.bar.com适用于证书。但是如果我添加*.foo.com,看起来就像*.bar.com,那么诸如的 URLa.foo.com不会被接受,而 会a.bar.com被接受。
这个限制是如何定义的?
答案1
您面临的问题是,*证书中仅匹配完全限定名称的单个子部分。因此*.example.com匹配a.example.com和xyzzy.example.com,但不匹配foo.bar.example.com。要匹配更多级别的 FQDN,您需要添加更多星号,从而导致证书包含大量subjectAltName条目,例如:
*.example.com
*.*.example.com
*.*.*.example.com
等等。