警告: 我是一名职业开发人员(因此请使用小词)。
供应商为我们托管了一个安全网站,该网站以我们的名称/域名 orders.oursite.com 为品牌。自最初设置以来,我们已为 *.oursite.com 购买了通配符证书。据我了解,续订证书的基本流程如下:
- 供应商从每个服务器生成 CSR。
- 我们从认证机构收到基于每个服务器的每个 CSR 的证书。
- 供应商安装每个证书。
我们的供应商(我们是一家 IIS 商店/他们使用 Apache)告诉我们必须购买(续订)特定的 orders.oursite.com,并且他们无法安装针对 *.oursite.com 生成的证书。我和我的网络工程师是否忽略了这一点?
更新 在我可以提前使用的信息类别下,显然他们有一些 IBM 应用程序可以阻止使用通配符证书。它的作用是什么或它如何运作,我不知道。
谢谢!
答案1
那是不对的。
通配符证书与能否生成证书无关;它是一个单一证书,将验证证书引用的 CN 的所有子域。
因此,如果您为 *.example.com 购买了通配符证书,则意味着运行 orders.example.com 的 Web 服务器可以使用该证书。
CSR 不会进入其中,因为它们用于请求您不想使用的主机名特定的证书。
orders用通配符证书替换该证书。