SSL 通配符证书 + SAN 以匹配通配符部分的多个特定子域

SSL 通配符证书 + SAN 以匹配通配符部分的多个特定子域

假设我拥有该域名example.com,并希望在此域名上设置多个网站作为子域名,但这些网站还使用几个特殊端点作为进一步的子域名。我可以将它们全部放在 1 个 SAN + 通配符 SSL 证书上吗?哪些提供商可能支持创建该证书?

即我想保护

example.com
siteXXX.example.com (where siteXXX refers to the sub sites token)
www.example.com
api.example.com
mail.example.com
www.siteXXX.example.com
api.siteXXX.example.com
mail.siteXXX.example.com

我在想我需要一些看起来像

example.com
*.example.com (covers siteXXX, api, www, mail)
www.*.example.com (covers www.siteXXX)
api.*.example.com (covers api.siteXXX)
mail.*.example.com (covers mail.siteXXX)

标准是否允许这样做?我不确定,因为我只能找到以通配符组件作为最低级别子域的示例,而不是中级子域。

答案1

即使你使用这些 SAN 颁发证书,他们也不会在浏览器或任何遵循 PKI 最佳实践的应用程序上验证这些域名(阅读此 RFC例如来自 IETF 的 )

您认为自己是该证书涵盖的所有域名的合法所有者,但是如果浏览器接受了证书,情况会怎样www.*.com

我拥有www.zip.com,但这不应该让我能够颁发可以验证的证书www.amazon.com

答案2

通配符 SSL 证书仅涵盖其注册名称上的子域名。SSL*.domain.com证书将涵盖 下的任何内容domain.com,但不包括 中的子域名domain.com。因此,它不会涵盖second.first.domain.com

尽管通配符证书不涵盖多级子域,但您可以将其作为 SAN 添加到证书中。为此,请咨询您的证书颁发者如何执行此操作。大多数证书颁发者都允许这样做。您只需添加带有另一个星号的子域即可。因此,我可以将 SAN 添加*.first.domain.com到证书中,这将涵盖我的second.first.domain.com域。它还涵盖其下的所有内容。并且一定要添加根域本身,因为通配符证书才不是盖上它(我认为)。

因此,回答您的问题,您可以获得一个通配符证书来保护

*.domainname.com

借助 SAN

domainname.com
*.siteXXX.domainname.com

我希望这有帮助!

相关内容