主页 / server / 问题 / 104160
In Process
Rob Long
Asked: 2010-01-20 06:34:37 +0800 CST

二级子域的通配符 SSL 证书

  • 772

我想知道是否有任何证书支持双通配符,例如*.*.example.com?我刚刚和我目前的 SSL 提供商 (register.com) 通了电话,那里的女孩说他们不提供类似的东西,而且她认为无论如何都不可能。

谁能告诉我这是否可行,以及浏览器是否支持?

subdomain ssl certificate wildcard

8 个回答

  1. RFC2818指出:

    如果证书中存在多个给定类型的身份(例如,多个 dNSName 名称,则认为任何一组中的匹配都是可接受的。)名称可能包含通配符 *,该通配符被认为匹配任何单个域名组件或组件片段。例如,*.a.com 匹配 foo.a.com 但不匹配 bar.foo.a.com。f*.com 匹配 foo.com 但不匹配 bar.com。

    Internet Explorer 以 RFC 概述的方式运行,其中每个级别都需要自己的通配符证书。Firefox 对单个 *.domain.com 感到满意,其中 * 匹配 domain.com 前面的任何内容,包括 other.levels.domain.com,但也将处理 *.*.domain.com 类型。

    因此,回答您的问题:这是可能的,并且受到浏览器的支持。

    • 65

  2. 这里的所有答案都已过时或不完全正确,不考虑 2011 年的 RFC 6125。

    根据RFC 6125,在最左边的片段中只允许使用一个通配符。

    有效的:

    *.sub.domain.tld
*.domain.tld

    无效的:

    sub.*.domain.tld
*.*.domain.tld
domain.*
*.tld
sub.*.*

    片段,或也称为“标签”,是一个封闭的组件,例如:*.com(2 个标签)不匹配label.label.com(3 个标签) - 这已在 RFC 2818 中定义。

    在 2011 年之前,RFC 2818 中的设置并不完全清楚:

    现有应用程序技术的规范对通配符的允许位置不明确或不一致。

    从 2011 年 (6.4.3) 开始,RFC 6125 改变了这一点:

    客户端不应尝试匹配其中通配符包含除最左侧标签之外的标签的呈现标识符(例如,不匹配 bar.*.example.net)。

    • 39

  3. 当为 *.domain.com 颁发通配符 SSL 证书时,您可以在主域上保护无限数量的子域。

    例如:

    • sub1.domain.com
    • sub2.domain.com
    • sub3.domain.com
    • 子*.domain.com

    如果通配符 SSL 证书是在 *.sub1.domain.com 上颁发的,在这种情况下,您可以保护 sub1.domain.com 下列出的所有二级子域

    例如:

    • aaa.sub1.domain.com
    • bbb.sub1.domain.com
    • ccc.sub1.domain.com
    • ***.sub1.domain.com

    如果您想保护有限数量的子域和二级域,那么您可以选择多域 SSL,它可以通过单个证书保护多达 100 个域名。

    例如:

    • 域名.com
    • sub1.domain.com
    • aaa.sub2.domain.com
    • domain2.net
    • domain3.org

    您应该知道选择 SSL 证书的实际要求。

    • 24

  4. 只是为了确认 FF 和 IE 8 不会接受表单中的证书,*.*.example.com尽管在技术上可以创建它们。

    • 23

  5. 我刚刚对此进行了一些研究,因为我对保护子域也有相同的要求,并且遇到了来自 DigiCert的解决方案。

    该证书表示它将支持yourdomain.com,*.yourdomain.com*.*.yourdomain.com

    它目前相当昂贵,但希望其他提供商将开始提供类似的证书并降低价格。

    • 8

  6. 这可能值得对当前浏览器版本进行新一轮测试。

    我个人的快速检查结果是:Firefox 20.0.1 似乎仍然不支持这一点。表明:

    此证书仅对 *.*.mydomain.com 有效

    ...当浏览到https://svn.project.mydomain.com时。

    互联网浏览器 9.0:

    本网站的证书是为另一个地址制作的

    笔记:

    • 这两份陈述都由我从德语翻译成英语。可能我没有使用与英文浏览器版本相同的短语。
    • 我使用了自签名证书。这导致浏览器显示额外的警告句。我假设上面的报价也将与受信任的证书颁发者一起显示。验证这超出了我的“快速检查”范围。
    • 8

  7. 虽然我没有调查你的问题,但我只是在几分钟前碰巧读到了一些关于它的东西:

    https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php

    这说明您不能使用双星号

    编辑

    添加部分报价以防网站出现故障或阅读时间过长

    不可能尝试使用单个通配符同时覆盖 mail.xyz.com 和 photos.xyz.com 的子域。CA 或证书颁发机构只能提供带有单个 (*) 的 SSL 证书。您无法生成看起来像 的证书签名请求.xyz.com 尝试覆盖超过一个二级子域组。

    之所以

    不可能拥有“双通配符”SSL 证书的原因是占位符星号只能代表提交给 CA 的名称中的一个字段。毕竟,CA 必须验证所有信息,证书中过多的变量会降低证书提供的安全性和可信度。

    此外,这对 IT 经理和网站所有者也很重要,内部安全不能轻易受到损害。请记住,一旦 SSL 证书到位,任何类型的安全问题都更有可能发生在内部安全漏洞中,即有权访问私钥和证书的人能够建立一个实际上由SSL。

    • 4

  8. 您可以执行的操作类似于 *.domain.com,然后是 *.www.domain.com 或 *.mail.domain.com。我从未在生产站点上见过 *.*.domain.com。

    您可以获得通配符 (*.domain.com),但您还需要 *.www.domain.com 作为替代主题名称条目才能使其正常工作。我所知道的唯一提供此服务的公司是 ssl.com 和digicert。可能还有其他人,但我不确定。

    • 0

相关问题