假设我拥有该域名example.com
,并希望在此域名上设置多个网站作为子域名,但这些网站还使用几个特殊端点作为进一步的子域名。我可以将它们全部放在 1 个 SAN + 通配符 SSL 证书上吗?哪些提供商可能支持创建该证书?
即我想保护
example.com
siteXXX.example.com (where siteXXX refers to the sub sites token)
www.example.com
api.example.com
mail.example.com
www.siteXXX.example.com
api.siteXXX.example.com
mail.siteXXX.example.com
我在想我需要一些看起来像
example.com
*.example.com (covers siteXXX, api, www, mail)
www.*.example.com (covers www.siteXXX)
api.*.example.com (covers api.siteXXX)
mail.*.example.com (covers mail.siteXXX)
标准是否允许这样做?我不确定,因为我只能找到以通配符组件作为最低级别子域的示例,而不是中级子域。
答案1
即使你使用这些 SAN 颁发证书,他们也不会在浏览器或任何遵循 PKI 最佳实践的应用程序上验证这些域名(阅读此 RFC例如来自 IETF 的 )
您认为自己是该证书涵盖的所有域名的合法所有者,但是如果浏览器接受了证书,情况会怎样www.*.com
?
我拥有www.zip.com
,但这不应该让我能够颁发可以验证的证书www.amazon.com
。
答案2
通配符 SSL 证书仅涵盖其注册名称上的子域名。SSL*.domain.com
证书将涵盖 下的任何内容domain.com
,但不包括 中的子域名domain.com
。因此,它不会涵盖second.first.domain.com
。
尽管通配符证书不涵盖多级子域,但您可以将其作为 SAN 添加到证书中。为此,请咨询您的证书颁发者如何执行此操作。大多数证书颁发者都允许这样做。您只需添加带有另一个星号的子域即可。因此,我可以将 SAN 添加*.first.domain.com
到证书中,这将涵盖我的second.first.domain.com
域。它还涵盖其下的所有内容。并且一定要添加根域本身,因为通配符证书才不是盖上它(我认为)。
因此,回答您的问题,您可以获得一个通配符证书来保护
*.domainname.com
借助 SAN
domainname.com
*.siteXXX.domainname.com
我希望这有帮助!