您可以将多个通配符证书组合用于多个二级域名 (SLD) 吗?

您可以将多个通配符证书组合用于多个二级域名 (SLD) 吗?

我们有两个域名……我们称它们为 a-domain.com 和 b-domain.com……它们在多个子域站点的多个服务器上很常见。每个域名都有通配符 SSL 证书……*.a-domain.com 和 *.b-domain.com……但都使用相同的中间证书颁发机构 (CA),但拥有不同的私有 .key 文件。

为了管理的简单起见,如果我们可以将两个通配符组合成一组 .cert(或 .pem)、.key 和 .chain 文件,那就太好了——这样,如果有一台服务器同时使用两者(通用),就很容易安装/更新。

我看到您可以组合 SSL 证书 - 但是所有示例/问题在其描述中最多只有一个通配符证书,我想知道是否可以使用两个通配符。

您能将不同 SLD 的两个通配符证书合并为一个 .cert 和一个 .key 吗?

谢谢!Neil

答案1

如果您想合并文件 - 不,您可以物理地合并它们,但这不会生成一份证书。

但是,如果您想颁发新证书,您可以在 CN 中组合几个主机名。关于通配符,最好联系您的 CA,询问您是否可以添加多个通配符域作为通用名称。

答案2

您自己无法将多个现有证书组合/合并为一个对所有情况都有效的新证书。

有一些容器格式允许您将所有私有、公共和中间证书合并到单个容器(单个文件)中,这可能会使管理更加容易。例如PKCS #12和 Java密钥库

实际上,使用这些可能不会减轻您的管理负担。没有一种容器格式是普遍支持的,许多服务器根本不支持任何容器格式。而且我使用 Java keyStore 的经历确实keytool让我的生活变得更轻松……

但你可以买多域名通配符 TLS 证书*.example.com对、example.com以及 和example.co.uk均有效*.example.co.uk

证书的主题备用名称 (SAN) 扩展中允许的通配符 dNSName 条目数量没有先验的技术限制,通配符 dNSName 条目在技术上与简单的 DNS 主机名也没有任何区别。

尽管如此,典型的证书颁发者可能会对包含两个或更多通配符的证书收取(更多)的费用。

顺便说一下,Let's Encrypt 也支持请求此类证书:请参阅本公告

要申请通配符证书,只需在 newOrder 请求中发送通配符 DNS 标识符即可。根据 Let's Encrypt 的政策,通配符标识符必须通过 DNS-01 质询进行验证,因此与通配符标识符相对应的订单授权将仅提供 DNS-01 质询。
证书中的 DNS 名称只能有一个通配符,并且必须是整个最左边的 DNS 标签,例如“ *.example.com”。单个证书可以具有多个基本域的通配符 DNS 名称,也可以混合非通配符名称。

相关内容