我们已经有一个通配符证书*.mycompany.com
。我们的网络包含只能在内部访问的主机。它们都属于internal.mycompany.com
子域。有一个主机名是 的私有服务器,server.internal.mycompany.com
我在该服务器上部署了通配符证书。
当我访问 Web 服务器时,出现主机名不匹配错误。我真的需要获取另一个通配符证书吗?*.internal.mycompany.com
或者是否有其他(免费!?)方法可以将我们的通配符证书用于所有子域及其子域,而不会在浏览器中出现错误?
答案1
#是的,您必须购买另一张证书*#
星号通配符*
仅与已解析的 FQDN 中的 1 个标签匹配。
这种行为反映RFC 4592 第 3.3 节,在其对 DNS 标签匹配和回退到星号标签的描述中。
如果您只需要保护命名空间下的单个端点.internal.mycompany.com.
,则不需要通配符证书,只需购买常规的单主题证书即可。
*) CA/浏览器论坛对公共证书颁发的基本要求 允许证书的 SAN 扩展中的通配符名称,因此从技术上讲,单个通配符证书可以对多个子域的通配符匹配有效,但我已经绝不我见过这种产品的现成广告,我认为它的价格非常昂贵
答案2
根据WildCard SSL 证书安全协议它只允许保护第一级域名,其中也包括您的主域名,例如 domainname.com 和域名.域名.com。它允许无限子域名安全,但它们必须是一级域名。
如果你想保护你的子域名,其格式为域名.域名.域名.com在技术上称为二级子域名,那么您必须拥有另一个通配符 SSL 证书来专门保护该子域名的安全。
答案3
通配符 SSL 证书只能保护单级子域名。如果您有为 *.mycompany.com 颁发的通配符 SSL,那么它将保护 mycompany.com 及其所有子域名。
如果您的要求是保护二级子域名,那么您应该为 *.internal.mycompany.com 创建 CSR(在这种情况下,mycompany.com 将在浏览器中收到域名不匹配警告,因此您需要为 mycompany.com 购买标准 SSL 证书)
只需一个多域名证书即可保护您的整个网站。使用多域名 SSL 证书,您可以保护多个网站、子域名和多级子域名。
- mycompany.com
- 我的公司网站
- internal.mycompany.com
- *.mycomapany.com
- 服务器.internal.mycompany.com 。.anycompany.anytld
多域 SSL 证书也称为 SAN SSL 证书,将每个条件计为单独的 SAN 名称。
您应该评估在mycomapny.com和*.internal.mycompany.com下创建了多少个子域,这将有助于选择正确的证书产品。
这里已经解释了详细的场景 -二级子域名通配符 SSL 证书