我希望拥有涵盖旧域的 SSL 证书(DNS 会将所有域指向单个 Web 服务器,我们的 Exchange 还会处理来自多个域的传入电子邮件)。我找到了“SAN 中的多个通配符”SSL 提供商。
SSL 提供商声明:
默认情况下,该产品将保护 2 个通配符域名(例如:*.yourdomain.com 和 *.domain.com),并且必须有一个非通配符域名(例如:yourdomain.com)列为基本域名或通用名称(我显然需要在购买时“添加另一个通配符域名”,因为我需要 3 个通配符域名)
至于为提供程序生成 REQ(使用 IIS 7.5),我是否会生成带有 SAN 通配符的正常 SAN 请求?
例如我需要覆盖 *.mydomain1.com *.otherdomain1.org 和 *.yetanotherdomain.net
所以我想我需要一个“合适的”通用名称 -mydomain1.com然后添加通配符作为 SAN:
- *.mydomain1.com
- *.otherdomain1.org
- *.yetanotherdomain.net
我的问题是:我的方法正确吗?
答案1
首先,您应该使用星号 (*) 为您的任何主域名申请多域名通配符 SSL 证书。即*.mydomain1.com
之后,您应该添加其他域*.otherdomain1.org 并将*.yetanotherdomain.net它们添加到同一个 SSL 证书中。要用单个证书覆盖所有这些域,您需要再购买一个 SAN(正如您提到的,默认包包含两个域)。我建议检查这个帖子,如果您对最适合您要求的证书有任何疑问。
如果您的主域名和子域名位于同一台服务器上,则只需安装一次证书。但是,如果您的任何域名/子域名位于另一台服务器上,则需要重新颁发证书并将其安装在不同的服务器上。请注意,一些提供商提供免费的重新颁发服务,而少数提供商则收费,因此请先确认。
看起来,您的方法是正确的,您应该购买多域通配符证书来保护来自不同站点的子域(*.mydomain1.com,*.otherdomain1.org,*.yetanotherdomain.net 等)。