SSL ตัวแทนในโดเมนย่อย [ปิด]

เรามีใบรับรอง wildsl ssl สำหรับ * .domain.com และมีเว็บไซต์ที่มี sub1.sub2.domain.com

Safari 4.0.4 บน MacOsx แสดงข้อผิดพลาดของใบรับรอง (น่าจะเป็นเพราะการตีความสัญลักษณ์) ในขณะที่ Safari 4 บน windows ไม่ได้

พฤติกรรม ie8 ยังผสมกันอย่างดีที่สุดบางคน ie8 ไม่แสดงข้อผิดพลาดใบรับรองและบางอย่างไม่

อะไรเป็นสาเหตุของพฤติกรรมแปลก ๆ นี้ใน Safari และ IE

ใบรับรอง SSL สัญลักษณ์แทนสำหรับ.example.net *จะตรงกับsub.example.netแต่ไม่sub.sub.example.net

จากRFC 2818 :

การจับคู่จะดำเนินการโดยใช้กฎการจับคู่ที่ระบุโดย RFC2459 หากมีมากกว่าหนึ่งประเภทของประเภทที่กำหนดอยู่ในใบรับรอง (เช่นชื่อ dNSName มากกว่าหนึ่งชื่อการจับคู่ในชุดใดชุดหนึ่งถือว่าเป็นที่ยอมรับได้) ชื่ออาจมีอักขระตัวแทน*ซึ่งถือว่าตรงกับโดเมนใดโดเมนหนึ่ง ส่วนประกอบชื่อหรือส่วนย่อย เช่น*.a.comตรงแต่ไม่foo.a.com ตรงแต่ไม่bar.foo.a.comf*.comfoo.combar.com

หากคุณต้องการใบรับรองไวด์การ์ดที่มีไซต์ * .domain.com และทำงานกับ sub1.sub2.domain.com หรือโดเมนอื่นเช่น * .domain2.com คุณสามารถแก้ปัญหาด้วยใบรับรองไวด์การ์ดเดี่ยวที่มีชื่อเรื่อง ส่วนขยายชื่อสำรอง (SAN) สำหรับแต่ละโดเมนย่อยย่อยอื่น ๆ ใบรับรอง SAN ไม่ได้มีไว้สำหรับชื่อโฮสต์หลายชื่อเท่านั้นสามารถสร้างสำหรับรายการสัญลักษณ์แทนได้เช่นกัน

ตัวอย่างเช่น * .domain.com, sub1.sub2.domain.com และ * .domain2.com จะมีชื่อสามัญของ * .domain.com จากนั้นคุณจะแนบชื่อสำรองของทั้งชื่อ * .domain2.com และ * .sub2.domain.com อาจขึ้นอยู่กับผู้ออกใบรับรองว่าพวกเขาจะเรียกเก็บเงินจากคุณอย่างไร (หรือไม่) สำหรับใบรับรอง แต่มีบางอย่างที่มีให้บริการนี้ นอกจากนี้ SAN ยังสนับสนุนอย่างกว้างขวางในพื้นที่เว็บเบราว์เซอร์ ตัวอย่างการใช้งานจริงที่ดีที่สุดในโลกนี้คือใบรับรอง SSL ของ Google ไปที่ google เปิดแล้วดูใบรับรอง SSL คุณจะเห็นว่าใช้งานได้กับ * .google.com, * .youtube.com, * .gmail.com และอีกมากมายที่พวกเขาถูกระบุว่าเป็นชื่อสำรอง

อักขระตัวแทนจะใช้กับส่วนแรก (จากซ้าย) ของโดเมนคุณเท่านั้น ดังนั้นคุณจะต้องมีใบรับรองสำหรับ * .sub2.domain.com

หากคุณหมายถึงว่าคุณมี sub1.domain.com และ sub2.domain.com แสดงว่าควรใช้งานได้