题 二级子域的通配符SSL证书


我想知道是否有任何证书支持双通配符 *.*.example.com?我刚刚和我现在的SSL提供商(register.com)打过电话,那里的那个女孩说他们没有提供类似的东西,而且她认为不管怎样都不可能。

任何人都可以告诉我这是否可行,如果浏览器支持这个?


75
2018-01-19 14:34




对于未来的访问者来说,没有浏览器支持双通配符证书ala *.*.example.com 截至2015年。不知道为什么。 - Mahn
@Mahn然后你必须写 *.a.a.com,*.b.a.com,*.c.a.com,...手动? - William
@LiamWilliam显然,我还没有找到浏览器喜欢的其他组合。这是一种痛苦。 - Mahn


答案:


RFC2818 状态:

如果给定的多个身份   类型存在于证书中   (例如,多个dNSName名称,a   任何一个匹配都是匹配的   被认为可以接受。)姓名可以   包含通配符*   被认为是匹配任何一个   域名组件或组件   分段。例如,* .a.com匹配   foo.a.com但不是bar.foo.a.com。   f * .com匹配foo.com但不匹配   bar.com。

Internet Explorer的行为与RFC概述的方式相同,其中每个级别都需要其自己的通配证书。 Firefox对单个* .domain.com感到满意,其中*匹配domain.com前面的任何内容,包括other.levels.domain.com,但也会处理*。*。domain.com类型。

所以,回答你的问题:这是可能的,并得到浏览器的支持。


46
2018-01-19 15:36



谢谢!今天早上在FF 3.5.7上进行的测试表明它现在符合RFC,与IE一样。它拒绝了我的 foo.bar.example.com的.example.com证书。所以只是为了澄清我需要的是另一个具有*的通配符证书。.example.com作为通用名称?
正确的,基于你需要一个*。*。example.com - Alex
我刚刚在FF 3.5和IE 8中测试过,两者都不接受证书 。.example.com的。我认为唯一的解决方案是使用多个通配符证书。 - Robert
谁写了这个标准?这是毫无价值的。如果你问我,也浪费钱。它保护什么? - Brent Pabst
如果双通配符导致问题,那么围绕通配符的特定子域是否有效?翼 SubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com - rcoup


只是为了确认FF和IE 8不接受表格中的证书 *.*.example.com 虽然技术上可以创建它们。


18
2018-01-27 16:36



那你要写吗? *.a.a.com,*.b.a.com,*.c.a.com 手动? - William
@William我是这么认为的。这真的很不幸。 - Franklin Yu


为* .domain.com颁发通配符SSL证书时,您可以在主域上保护无限数量的子域。

例如:

  • sub1.domain.com
  • sub2.domain.com
  • sub3.domain.com
  • 子* .domain.com

如果在* .sub1.domain.com上发布通配符SSL证书,则在这种情况下,您可以保护sub1.domain.com下列出的所有二级子域

例如:

  • aaa.sub1.domain.com
  • bbb.sub1.domain.com
  • ccc.sub1.domain.com
  • ***。sub1.domain.com

如果要保护有限数量的子域和二级域,则可以选择多域SSL,该证书可以使用单个证书保护多达100个域名。

例如:

  • domain.com
  • sub1.domain.com
  • aaa.sub2.domain.com
  • domain2.net
  • domain3.org

您应该知道选择SSL证书的实际要求。


16
2018-01-08 12:19



这是一个很好的理解,但没有回答这个问题。您提到了所有组合,但没有提到OP要求的组合(。.domain.com)。 - DanFromGermany


对于当前的浏览器版本,这可能值得进行新一轮的测试。

我的个人快速检查结果是:Firefox 20.0.1似乎仍然不支持这一点。表明:

此证书仅对*。*。mydomain.com有效

...冲浪时 https://svn.project.mydomain.com

Internet Explorer 9.0:

本网站的证书是为另一个地址而制作的

笔记:

  • 这两个陈述由德语翻译成英语。可能我没有使用与英文浏览器版本相同的短语。
  • 我使用了自签名证书。这导致浏览器显示另一个警告句子。我假设上面的引用也会与受信任的证书颁发者一起显示。验证这超出了我的“快速检查”的范围。

8
2017-09-17 16:19





我刚刚对此进行了一些研究,因为我对保护子子域也有相同的要求,并遇到了一个问题  来自DigiCert。

这个证书说它会支持 yourdomain.com*.yourdomain.com*.*.yourdomain.com 等等。

它目前相当昂贵,但希望其他供应商会开始提供类似的证书并降低价格。


7
2018-01-06 23:54



这是正确的方法。支持多个(通配符)名称的通配符证书 - drAlberT
我们有digicert的这个证书。它支持它,但默认情况下不支持。您必须创建重复的证书并指定证书中的所有子域。它不是自动的。 - L_7337


虽然我没有考虑你的问题,但我刚刚在几分钟前读过一些关于它的事情:

https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

这解释了你不能使用双星号


1
2018-05-14 06:52





您可以做的是* .domain.com然后* .www.domain.com或* .mail.domain.com。我在生产网站上从未见过*。*。domain.com。

您可以获得通配符(* .domain.com),但您还需要* .www.domain.com作为替代主题名称条目才能使其生效。我所知道的唯一公司是ssl.com和digicert。可能还有其他人,但我不确定。


0
2018-02-12 17:25