主页 / server / 问题 / 18364
Accepted
Unknown
Asked: 2009-06-03 16:51:59 +0800 CST

我可以对 *.domain.com 和 domain.com 使用相同的通配符认证吗

  • 772

您可以使用 *.domain.com 作为名称来制作 SSL 证书。

但不幸的是,这不包括https://domain.com

有什么解决办法吗?

ssl certificate wildcard openssl

5 个回答

  1. Best Answer

    我似乎记得 *.domain.com 实际上无论如何都违反了 RFC(我认为只有 lynx 会抱怨 :)

    在名称字段中创建一个以 domain.com 作为 CN 和 *.domain.com 的证书subjectAltName:dNSName- 可以。

    对于 openssl,将其添加到扩展中:

    subjectAltName          = DNS:*.domain.com
    • 13

  2. 不幸的是,您不能这样做。处理子域通配符的规则类似于关于子域 cookie 的规则。

    www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

    要处理此问题,您必须获得两个证书,一个*.domain.com用于domain.com. 您将需要使用两个单独的 IP 地址,并且两个虚拟主机分别处理这些域。

    • 6

  3. 如今,通配符将在主题备用名称字段 (SAN) 中包含 *.domain.com 和 domain.com。例如看看 quora.com 的通配符 SSL 证书

    你会看见

    主题备用名称:*.quora.com、quora.com

    • 4

  4. 可能不是您正在寻找的答案,但我 99% 确定没有办法。将http://domain.com/重定向到https://www.domain.com/并使用 *.domain.com 作为 SSL 证书。它远非完美,但有望涵盖您感兴趣的大多数情况。唯一的另一种选择是对 domain.com 和 www.domain.com 使用不同的 IP 地址。然后,您可以为每个 IP 使用不同的证书。

    • 2

  5. 不,因为它们是完全不同的名称空间。重定向 tld 也不是一个选项,因为 SSL 是一种传输加密,它必须在 apache 之前解码 ssl,例如甚至可以看到请求主机来重定向它。

    另外作为旁注: foo.bar.domain.com 对于通配符证书也无效(内存中的 Firefox 是唯一允许这样做的。

    • 1

相关问题