我们已经有一个通配符证书*.mycompany.com。我们的网络有只能在内部访问的主机。它们都属于internal.mycompany.com子域。有一个私有服务器,其主机名server.internal.mycompany.com是我在其上部署通配符证书的。
当我访问 Web 服务器时,我收到主机名不匹配错误。我真的必须获得另一个通配符证书,*.internal.mycompany.com还是有另一种(免费!?)方法可以为我们的所有子域及其子域使用通配符证书而不会在浏览器中出现错误?
#是的,您将需要购买另一个证书*#
星号通配符
*将仅匹配已解析 FQDN 中的 1 个标签。此行为反映了RFC 4592 第 3.3 节,在其对 DNS 标签匹配和回退到星号标签的描述中。
如果只需要保护
.internal.mycompany.com.命名空间下的单个端点,则不需要通配符证书,只需购买常规的单主题证书即可。* ) 公共证书颁发的 CA/浏览器论坛基线要求 确实允许在证书的 SAN 扩展中使用通配符名称,因此从技术上讲,单个通配符证书可能对多个子域上的通配符匹配有效,但我从未见过这种类型的产品在任何地方都做现成广告,我认为它非常昂贵
根据WildCard SSL 证书安全协议,它只允许保护一级域,其中还包括您的主域,例如 domainname.com 和domain.domainname.com。它允许无限的子域安全,但它们必须是第一级域。
如果您想保护以domain.domain.domainname.com格式的子域名(技术上称为二级子域名),那么您必须拥有另一个通配符 SSL 证书,专门用于该子域名的安全性。
通配符 SSL 证书只能保护单级子域。如果您有为 *.mycompany.com 颁发的通配符 SSL,那么它将保护 mycompany.com 及其所有子域。
如果您的要求是保护二级子域,那么您应该为 *.internal.mycompany.com 创建 CSR(在这种情况下,mycompany.com 会在浏览器中收到域名不匹配警告,因此您需要购买标准 SSL mycompany.com 的证书)
可以使用单个多域证书保护您的整个网站。使用多域 SSL 证书,您可以保护多个网站、子域和多级子域。
多域 SSL 证书也称为 SAN SSL 证书,并将每个条件计为一个单独的 SAN 名称。
您应该评估在 mycomapny.com 和 *.internal.mycompany.com 下创建了多少子域,这将有助于选择正确的证书产品。
这里已经解释了详细场景 -二级子域的通配符 SSL 证书