哪个 SSL 证书将支持外部和内部域名？

我假设您不会在这里获得 *.ac.at 的通配符证书；）

具有两个域名的证书称为multidomain-certificate，在您的情况下bgs.ac.at和bgschwechat.ac.at. 此外，您需要和 的通配符证书。所有名称都可以使用Subject Alternative Names在一个证书中。*.bgs.ac.at*.bgschwechat.ac.at

您可以使用配置文件使用 OpenSSL 生成这样的证书：

openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf

bgschwechat.ac.at.key使用由生成的现有密钥

openssl genrsa 4096 -out bgschwechat.ac.at.key

并使用以下内容bgschwechat.ac.at.cnf：

[req]
distinguished_name = req_distinguished_name
default_bits           = 4096
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName  = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]

您必须在这里支付 2 个简单的域证书，外加 2 个通配符。因此，重命名内部使用的域名（或使用 HTTP 重定向）肯定更便宜。除了通配符，您还可以将所有子域（邮件、www 等）添加到备用域列表中。

如果您不想保护您的内部域bgs.ac.at，您可以忽略它。

仅在“外部可解析”地址上？: 每个 CA 都可以定义自己的规则。在大多数情况下，这是一个金钱问题，就像 CA 一样。通常 CA 不会为无法解析的地址颁发证书（仅当您支付更多费用时）。由于 bgs.ac.at 无法解析，因此您不会那么容易获得证书。如果仅在内部使用，您还可以颁发自签名证书并将其部署在每台计算机上。

关于在哪里买东西的建议在 Serverfault 上是题外话。