ฉันสามารถใช้การรับรองไวด์การ์ดที่เหมือนกันสำหรับ * .domain.com และ domain.com ได้หรือไม่


คำตอบ:


11

ฉันดูเหมือนจะจำได้ว่า * .domain.com จริง ๆ แล้วละเมิด RFC ต่อไป (ฉันคิดว่ามีคมแค่บ่น :)

สร้างใบรับรองที่มี domain.com เป็น CN และ * .domain.com ในsubjectAltName:dNSNameฟิลด์ชื่อ - ซึ่งใช้งานได้

สำหรับ openssl ให้เพิ่มส่วนนี้ในส่วนขยาย:

subjectAltName          = DNS:*.domain.com

Awww ฉันลองแล้ว แต่ก็ใช้งานไม่ได้อย่างน้อยก็ใน firefox
ไม่ทราบ

รายละเอียด: ให้แน่ใจว่า * .domain.com อยู่ในฟิลด์ subjectAltName: dNSName
MikeyB

@Supermathie ฉันจะทำเช่นนั้นในบรรทัดคำสั่งได้อย่างไร
ไม่ทราบ

คุณไม่สามารถทำได้โดยตรงบนบรรทัดคำสั่ง แต่คุณสามารถใช้ -extfile และ -extensions
MikeyB

+1 ... นี่คือวิธีที่เราจัดการใบรับรองตัวแทนของเรา ฉันไม่สามารถชมวิธีทำด้วย openssl ได้
Doug Luxem

7

น่าเสียดายที่คุณไม่สามารถทำสิ่งนี้ได้ กฎสำหรับจัดการสัญลักษณ์แทนในโดเมนย่อยนั้นคล้ายกับกฎเกี่ยวกับคุกกี้สำหรับโดเมนย่อย

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

การจัดการนี้คุณจะต้องได้รับสองใบหนึ่งสำหรับ*.domain.comและอื่น ๆ domain.comสำหรับ คุณจะต้องใช้ที่อยู่ IP สองที่แยกกันและสอง vhost จัดการโดเมนเหล่านี้แยกจากกัน


2
คุณสามารถทำสิ่งนี้ได้ - ทำตลอดเวลา - ดูคำตอบข้างต้น สิ่งนี้สามารถทำได้โดยใช้ CN และนามสกุลชื่อเรื่องอื่น techbrahmana.blogspot.com/2013/10/…
John Kloian

4

สัญลักษณ์แทนวันนี้จะมี * .domain.com และ domain.com ในฟิลด์ชื่อสำรอง (SAN) ตัวอย่างเช่นดูใบรับรอง SSL ของตัวแทนตัวแทน quora.com

แล้วคุณจะได้เห็น

ชื่อทางเลือกของหัวเรื่อง: * .quora.com, quora.com


เพิ่งยืนยันเรื่องนี้กับหนึ่งในไวลด์การ์ดของฉันเอง (จาก Comodo) - ไม่ใช่ www ทำงานได้ดี
ceejayoz

2

อาจไม่ใช่คำตอบที่คุณกำลังมองหา แต่ฉัน 99% แน่ใจว่าไม่มีทาง เปลี่ยนเส้นทางhttp://domain.com/เพื่อhttps://www.domain.com/และใช้ * .domain.com เป็นใบรับรอง SSL มันไกลจากความสมบูรณ์แบบ แต่หวังว่าจะครอบคลุมกรณีส่วนใหญ่ที่คุณสนใจอีกทางเลือกเดียวคือการใช้ที่อยู่ IP ที่แตกต่างกันสำหรับ domain.com และ www.domain.com จากนั้นคุณสามารถใช้ใบรับรองที่แตกต่างกันสำหรับแต่ละ IP


คุณถูก. "domain.com" เป็นระบบย่อยของ ".com" ดังนั้น wildcard ที่ใช้งานได้จะเป็น "* .com" นี่คือเหตุผลที่ใบรับรองสำหรับ * .domain.com ทำงานกับ "www.domain.com" แต่ไม่ใช่ "www.acct.domain.com"
sysadmin1138

1

ไม่เพราะเป็นชื่อพื้นที่ที่แตกต่างอย่างสิ้นเชิง การเปลี่ยนเส้นทาง tld ไม่ใช่ตัวเลือกเนื่องจาก SSL เป็นการเข้ารหัสการส่งผ่านซึ่งจะต้องถอดรหัส ssl ก่อนที่ apache จะสามารถเห็นแม้แต่คำขอโฮสต์ที่จะทำการเปลี่ยนเส้นทาง

นอกจากนี้ยังเป็นหมายเหตุข้างเคียง: foo.bar.domain.com นั้นไม่ถูกต้องสำหรับไวด์การ์ดใบรับรอง (firefox จากหน่วยความจำเป็นอันเดียวที่จะอนุญาต

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.