我遇到了以下问题:我想使用 SSL 保护我的结构,但是 certbot 告诉我添加到证书的域是多余的。
我想将以下(子)域添加到证书中:
a.foo.com*.a.foo.com
b.foo.com*.foo.com
Certbot 一直抱怨a.foo.com被包含在子域通配符中。
我能想到的唯一解决方案(并且或多或少有效)是在证书中包含以下 SAN:
*.foo.com*.a.foo.com
这是正确的方法吗?
答案1
您当前仅使用通配符证书(*.foo.com 和 *.a.foo.com)的解决方案是处理这种情况的正确方法。
原因如下:
通配符证书 (*.a.foo.com) 本身涵盖“a.foo.com”下的任何子域名,包括 a.foo.com 本身。同时包括两者是多余的!
仅包含通配符可实现所有子域的相同安全性,同时保持证书更简洁。因此,请坚持当前的做法,即在 SSL 请求中仅使用通配符证书。
Certbot 不会再抱怨了,并且您的服务器将为所有预期的域提供安全保障。