哪种 SSL 证书支持外部和内部域名？

我认为您不会在这里获得 *.ac.at 的通配符证书；)

带有两个域名的证书称为多域证书，在你的情况下bgs.ac.at和bgschwechat.ac.at。此外你还需要通配符证书和*.bgs.ac.at。*.bgschwechat.ac.at所有名称都可以在一个证书中使用主题备用名称。

您可以使用配置文件通过 OpenSSL 生成这样的证书：

openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf

bgschwechat.ac.at.key使用由以下程序生成的现有密钥

openssl genrsa 4096 -out bgschwechat.ac.at.key

并使用以下内容bgschwechat.ac.at.cnf：

[req]
distinguished_name = req_distinguished_name
default_bits           = 4096
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName  = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]

您需要支付 2 个简单域名证书以及 2 个通配符。因此，重命名内部使用的域名（或使用 HTTP 重定向）肯定更便宜。除了通配符，您还可以将所有子域名（邮件、www 等）添加到备用域名列表中。

如果您不想保护您的内部域bgs.ac.at，您可以忽略这一点。

---

在仅“外部可解析”地址？：每个 CA 都可以定义自己的规则。在大多数情况下，这是一个金钱问题，就像 CA 一样。通常 CA 不会为无法解析的地址颁发证书（除非您支付更多费用）。由于 bgs.ac.at 无法解析，因此您不会轻易获得证书。如果它仅在内部使用，您还可以颁发自签名证书并将其部署在每台计算机上。

关于在哪里购买东西的建议是无关在 Serverfault 上。