如果我有一个颁发给 *.abc.dk 的证书,我可以使用例如 vm.abc.dk 正常访问该网站(自动更改为https://www.vm.abc.dk) 但是当我尝试写入 www.vm.abc.dk 时,我在 Firefox 中收到错误 SSL_ERROR_BAD_CERT_DOMAIN,在 Chrome 中也收到类似的错误。
如果我选择继续或添加例外,它可以重定向到https://vm.abc.dk很好。我需要在证书中添加 SAN 吗?或者我无法立即连接到 www.vm.abc.dk 的原因是什么?
答案1
我相信通配符证书仅对该子域名中的任何内容有效,而不对其他较低子域名有效。
即。*.abc.dk 是 any.abc.dk 但不能与 any.thing.abc.dk 一起使用 为此,您需要 *.thing.abc.dk
因为您请求的是 www.*.vm.abc.dk,所以该证书无效,这就是您收到 SSL_ERROR_BAD_CERT_DOMAIN 错误的原因。
您可以添加可能是最好的 SAN,除非其他人有更好的想法。
答案2
您需要一张有效期为vm.abc.dk和 的证书www.vm.abc.dk。
因此,如果您想采用通配符方式,请获取包含以下内容的证书:*.abc.dk*.*.abc.dk
编辑:根据 Steffen Ullrich 在评论中的说法,这是不可能的。谢谢您的提示!
或者,如果这样更便宜或者涉及的子域名并不多,则将它们全部放入该
Subject Alternative Name字段中。