คุณสามารถสร้างใบรับรอง SSL โดยใช้ * .domain.com เป็นชื่อ
แต่น่าเสียดายที่นี่ไม่ครอบคลุมhttps://domain.com
มีการแก้ไขใด ๆ สำหรับเรื่องนี้?
คุณสามารถสร้างใบรับรอง SSL โดยใช้ * .domain.com เป็นชื่อ
แต่น่าเสียดายที่นี่ไม่ครอบคลุมhttps://domain.com
มีการแก้ไขใด ๆ สำหรับเรื่องนี้?
คำตอบ:
ฉันดูเหมือนจะจำได้ว่า * .domain.com จริง ๆ แล้วละเมิด RFC ต่อไป (ฉันคิดว่ามีคมแค่บ่น :)
สร้างใบรับรองที่มี domain.com เป็น CN และ * .domain.com ในsubjectAltName:dNSName
ฟิลด์ชื่อ - ซึ่งใช้งานได้
สำหรับ openssl ให้เพิ่มส่วนนี้ในส่วนขยาย:
subjectAltName = DNS:*.domain.com
น่าเสียดายที่คุณไม่สามารถทำสิ่งนี้ได้ กฎสำหรับจัดการสัญลักษณ์แทนในโดเมนย่อยนั้นคล้ายกับกฎเกี่ยวกับคุกกี้สำหรับโดเมนย่อย
www.domain.com matches *.domain.com
secure.domain.com matches *.domain.com
domain.com does not match *.domain.com
www.domain.com does not match domain.com
การจัดการนี้คุณจะต้องได้รับสองใบหนึ่งสำหรับ*.domain.com
และอื่น ๆ domain.com
สำหรับ คุณจะต้องใช้ที่อยู่ IP สองที่แยกกันและสอง vhost จัดการโดเมนเหล่านี้แยกจากกัน
สัญลักษณ์แทนวันนี้จะมี * .domain.com และ domain.com ในฟิลด์ชื่อสำรอง (SAN) ตัวอย่างเช่นดูใบรับรอง SSL ของตัวแทนตัวแทน quora.com
แล้วคุณจะได้เห็น
ชื่อทางเลือกของหัวเรื่อง: * .quora.com, quora.com
อาจไม่ใช่คำตอบที่คุณกำลังมองหา แต่ฉัน 99% แน่ใจว่าไม่มีทาง เปลี่ยนเส้นทางhttp://domain.com/เพื่อhttps://www.domain.com/และใช้ * .domain.com เป็นใบรับรอง SSL มันไกลจากความสมบูรณ์แบบ แต่หวังว่าจะครอบคลุมกรณีส่วนใหญ่ที่คุณสนใจอีกทางเลือกเดียวคือการใช้ที่อยู่ IP ที่แตกต่างกันสำหรับ domain.com และ www.domain.com จากนั้นคุณสามารถใช้ใบรับรองที่แตกต่างกันสำหรับแต่ละ IP
ไม่เพราะเป็นชื่อพื้นที่ที่แตกต่างอย่างสิ้นเชิง การเปลี่ยนเส้นทาง tld ไม่ใช่ตัวเลือกเนื่องจาก SSL เป็นการเข้ารหัสการส่งผ่านซึ่งจะต้องถอดรหัส ssl ก่อนที่ apache จะสามารถเห็นแม้แต่คำขอโฮสต์ที่จะทำการเปลี่ยนเส้นทาง
นอกจากนี้ยังเป็นหมายเหตุข้างเคียง: foo.bar.domain.com นั้นไม่ถูกต้องสำหรับไวด์การ์ดใบรับรอง (firefox จากหน่วยความจำเป็นอันเดียวที่จะอนุญาต