จะสร้างใบรับรอง SSL สำหรับโดเมนย่อยมากกว่าหนึ่งโดเมนได้อย่างไร

20

ฉันใช้เซิร์ฟเวอร์ "myserver.net" ซึ่งมีโดเมนย่อย "a.myserver.net" และ "b.myserver.net"

เมื่อสร้างใบรับรอง SSL (ลงนามด้วยตนเอง) ฉันต้องสร้างใบรับรองสำหรับทุกโดเมนย่อยที่มี FQDN แม้ว่าโดเมนย่อยเหล่านั้นจะเป็นเพียงโฮสต์

OpenSSL อนุญาตเพียงหนึ่ง "ชื่อสามัญ" ซึ่งเป็นโดเมนที่มีปัญหา มีความเป็นไปได้ในการสร้างใบรับรองที่ถูกต้องสำหรับโดเมนย่อยทั้งหมดของโดเมนหรือไม่

ssl-certificate  subdomain  openssl 
Polemon
แหล่งที่มา

คำตอบ:

27

ใช่ใช้ * .myserver.net เป็นชื่อสามัญ

สิ่งนี้เรียกว่า wildcard certs และมีการค้นหา howtos จำนวนมากด้วยคำหลักนี้

นี่คือหนึ่งในนั้น: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- ใบรับรอง

อัปเดต: หากคุณต้องการให้ใบรับรองจับคู่โดเมนรูทเช่นกัน (myserver.net) คุณควรใช้นามสกุลชื่อสำรองของหัวเรื่อง เมื่อสร้างใบรับรองโดยใช้ openssh ให้ป้อน '* .myserver.net / CN = myserver.net' เป็นชื่อสามัญ

ความเข้ากันได้ดีพอเว้นแต่ว่าคุณมีเบราว์เซอร์โบราณ

RVs
แหล่งที่มา
ตกลง แต่ใบรับรองนั้นใช้ได้สำหรับรูทโดเมน ("myserver.net") เช่นกันหรือเฉพาะสำหรับโดเมนย่อยทั้งหมด
polemon
1
ไม่ แต่คุณสามารถเพิ่มชื่อสำรองของหัวเรื่อง: ใช้ '* .myserver.net / CN = myserver.net' เป็น common.name ดูที่นี่: artins.org/ben/…และที่นี่: digicert.com/subject-alternative-name-compatibility.htm
rvs
ลิงก์ตาย คุณสามารถอัปเดตได้หรือไม่
allprog
1

เช่นเดียวกับ FYI มีใบรับรองอีกประเภทหนึ่งที่เรียกว่า Unified Communications Certificate สามารถใช้สัญลักษณ์แทนได้*.domain.comแต่ใบรับรอง UCC ช่วยให้คุณสามารถแสดงรายชื่อโดเมนที่ผ่านการรับรองอย่างเต็ม 100 (FQDN) ภายใต้โดเมนใดก็ได้ เหตุผลหลักที่จะได้รับหนึ่งในนั้นคือ Microsoft ไม่ได้กระตือรือร้นกับ wildcard สำหรับสิ่งต่าง ๆ เช่นตัวควบคุม MS Domain, Exchange และอื่น ๆ

https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

Unified Communications Certificate (UCC) เป็นใบรับรอง SSL ที่รักษาความปลอดภัยชื่อโดเมนหลายชื่อและชื่อโฮสต์หลายชื่อภายในชื่อโดเมน UCC ช่วยให้คุณสามารถรักษาความปลอดภัยชื่อโดเมนหลักและได้ถึง 99 ชื่อเรื่องทางเลือกเพิ่มเติม (SANs) ในใบรับรองเดียว UCC เหมาะอย่างยิ่งสำหรับMicrosoft® Exchange Server 2007, Exchange Server 2010 และ Microsoft Live® Communications Server

UCC เข้ากันได้กับโฮสติ้งที่ใช้ร่วมกัน อย่างไรก็ตามข้อมูลตราไซต์และใบรับรอง "ออกให้" จะแสดงรายการชื่อโดเมนหลักเท่านั้น โปรดทราบว่าบัญชีโฮสติ้งรองจะแสดงอยู่ในใบรับรองเช่นกันดังนั้นหากคุณไม่ต้องการให้ไซต์ปรากฏเป็น 'เชื่อมต่อ' ซึ่งกันและกันคุณไม่ควรใช้ใบรับรองประเภทนี้

ข้อเสียเปรียบหลักของ UCC คือคุณต้องแสดงรายการโดเมนทั้งหมดของคุณล่วงหน้า (อักขระตัวแทนไม่จำเป็นต้องใช้สิ่งนี้) หากรายการเปลี่ยนแปลงคุณจะต้องได้รับใบรับรองใหม่ อนึ่ง Namecheap (มีเพียงสิ่งเดียวที่ฉันรู้ว่ามี) การเสนอExtended Validation UCC (คุณจ่ายต่อโดเมนซึ่งหมายความว่าใบรับรอง 100 โดเมนมีราคาแพงมาก) ซึ่งเป็นวิธีเดียวที่จะมีใบรับรอง EV สำหรับโดเมนมากกว่าหนึ่งโดเมน เนื่องจากไม่มีใครเสนอ EV Wildcards

Machavity
แหล่งที่มา
-1

มันเป็นคำถามที่ถูกต้อง น่าเสียดายจากสิ่งที่ฉันเข้าใจโปรโตคอลไม่เคยตั้งใจให้เจ้าของโดเมนสามารถลงชื่อใบรับรองสำหรับโดเมนย่อยได้

คุณเป็นทั้ง CA สำหรับอะไรหรืออะไร ไม่มีข้อ จำกัด ในขอบเขตเมื่อคุณเป็น CA

โง่ แต่นั่นเป็นวิธีที่มันเป็น เพียงซื้อใบรับรองแยกต่างหากสำหรับทุก ๆ โดเมนที่คุณเป็นเจ้าของ $$$ นั่นถูกต้องทุก ๆ โดเมนดังนั้นอย่ากังวลกับความปลอดภัยของอุปกรณ์ฝังตัวที่คุณขาย

อดัมแอนเดอร์สัน
แหล่งที่มา
2
ไม่ผิด ก่อนอื่นดูคำตอบอื่นที่นี่วินาทีอ่านข้อมูลว่าผู้ออกใบรับรองคืออะไร ฉันมี CA สำหรับโดเมนภายในของฉันเท่านั้น มีข้อ จำกัด ขอบเขตสำหรับ CA เป็นอย่างมาก
HopelessN00b
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.