首先,这不是关于子域或主机标头和 SSL 的问题。
我想知道的是我是否可以建立一个证书请求或找到一个证书提供者,该证书提供者将颁发具有多个 CN(通用名称)的证书,以便安全访问https://www.abcde.com - 或- https:// www.qwert.com在浏览器看来与 SSL 证书中的 CN 不匹配?
背景
我们有一个在 URL http://www.abcde.com下运行的电子商务应用程序。该应用程序还有一个安全部分,可通过https://www.abcde.com访问。这是一个非常正常的设置,除了使用 SSL 通配符证书 (*.abcde.com),因为子域可能会根据此应用程序的业务用途而有所不同。应用程序的这种子域/域名差异与为我们选定的合作伙伴定制其外观和交易削减百分比有关。
我们现在有一个完全相同的应用程序的所需业务用途,可以通过 URL http://www.qwert.com访问它,当然,还有一个安全部分可以作为https://www.qwert.com访问.
这会造成问题,因为我的证书是为 *.abcde.com 颁发的。根据Ken Schaefer的说法,可以生成具有多个 CN 的 CSR。
您是否听说过证书中有多个 CN?您知道如何为此创建 CSR 吗?任何证书供应商都会满足这样的要求吗?
您应该查看称为统一通信证书的东西。
看这里可能会帮助你开始你想走的路:http ://rrr.thetruth.de/2008/04/openssl-certificates-with-multiple-domains-common-names/
最终,由 CA 的政策决定从您的 CSR 中使用哪些字段。许多人选择CN。或者其中之一。
subjectAlternativeName通常,多个域在标题下添加到同一个证书,而不是通用名称。CACert 允许您提交带有许多 SAN 的 CSR。为什么其他人不呢?他们想要你的钱。因此,Microsoft 和至少三个 CA 发明了一种通过新规则
重复利用现有技术来获取资金的新方法。这些是 IceMage 链接的 UC 证书。一句话,不...
当我阅读你的问题时,我最初的想法是“通配符 SSL 证书”,但这不是你想要做的......你试图在同一个 SSL 下使用 MULTIPLE DOMAINS。
我目前不知道有任何 SSL 发行者会做这种事情。您可能能够摆脱自签名证书......但是您的浏览器将开始抱怨......所以这不好。
我认为你最好/唯一真正的选择是为每个唯一的域名拥有一个单独的 SSL 证书,但这会带来另一个问题。
每个 SSL 证书都需要一个单独的 IP 地址(假设您要为这些证书运行默认端口)。
取决于我们谈论的域数量......我认为你有两个选择:
为您想要支持的每个不同域注册一个新的 SSL 证书,并相应地配置您的 Web 服务器。(即虚拟域)
注册一个通用域,例如“secure-ssl-server.com”并购买一个通配符证书,然后相应地命名您的子域。(即 abcde.secure-ssl-server.com、qwert.secure-ssl-server.com、wxyz.secure-ssl-server.com 等)
就个人而言,如果你能侥幸逃脱,我会支持选项#2,因为它更容易维护单个通配符证书,而不是处理大量多个证书。
希望这可以帮助。