确定 SSL 证书是否支持通配符子域名?

确定 SSL 证书是否支持通配符子域名?

希望这是正确的提问堆栈。如果不是,请将我引导到正确的堆栈。

我现在正在与客户合作,我需要知道他们的 SSL 证书是否支持通配符域名。他们那边的工程师不知道答案,我担心他们要花很长时间才能找到答案。

有没有办法根据浏览器中可查看的证书来了解这一点?

答案1

SSL 证书与域名绑定 - 因此只需检查证书,如果列出的域名是 *.domain.com,那么它就是通配符 - 如果域名是 domain.com,那么它特定于该域名。

答案2

这可以通过检查 SSL 主题中的通用名称来完成。您可以openssl在 *NIX 客户端上使用 bash 命令。

例如,google.com 和 www.google.com 使用两个不同的 SSL。第一个是通配符,第二个是特定于域的。

$ echo | openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -subject | grep -o "CN=.*" | cut -c 4-
*.google.com
$ echo | openssl s_client -connect www.google.com:443 2>/dev/null | openssl x509 -noout -subject | grep -o "CN=.*" | cut -c 4-
www.google.com

相关内容