子子域上的通配符 SSL [关闭]

Question

我们有一个*.domain.com 的通配符 SSL 证书，并且有一个带有 sub1.sub2.domain.com 的网站。

MacOS 上的 Safari 4.0.4 会弹出证书错误（可能是因为通配符解释），而 Windows 上的 Safari 4 则不会。

此外，IE8 的行为充其量也是混合的，一些 IE8 显示证书错误，而另一些则不显示。

是什么导致 Safari 和 IE 出现这种奇怪的行为？

Answer 1

通配符仅适用于您域的第一部分（从左侧开始）。因此，您需要 *.sub2.domain.com 的证书

如果你的意思是你有 sub1.domain.com 和 sub2.domain.com，那么它应该可以工作。

Answer 2

*.example.net 的通配符 SSL 证书将匹配 sub.example.net 但不匹配 sub.sub.example.net .

来自RFC 2818：

使用指定的匹配规则执行匹配 RFC2459。如果给定类型的多个身份存在于 证书（例如，多个 dNSName 名称，任何一个匹配 集合中的一个被认为是可接受的。）名称可能包含通配符 字符* 被认为匹配任何单个域名 组件或组件片段。例如，*.a.com 匹配 foo.a.com 但是 不是bar.foo.a.com。 f*.com 匹配 foo.com 但不匹配 bar.com。

Answer 3

如果您需要一个包含 *.domain.com 站点的通配符证书，并且还需要使用 sub1.sub2.domain.com 或其他域（如 *.domain2.com），您可以使用单个通配符证书来解决这个问题为每个其他子子域称为主题备用名称 (SAN) 扩展。 SAN 证书不仅适用于多个特定主机名，还可以为通配符条目创建。

例如，*.domain.com、sub1.sub2.domain.com 和 *.domain2.com 将具有 *.domain.com 的通用名称，然后您将附加两个 *.domain2 的主题备用名称.com 和 *.sub2.domain.com。它可能取决于证书颁发机构如何向您收取（或不收取）证书的费用，但有一些可以提供此产品的地方。此外，对 SAN 的支持在 Web 浏览器领域非常普遍。这种使用的最佳现实世界示例，它是 Google 的 SSL 证书。打开 google 并查看它的 SSL 证书，您会看到它适用于 *.google.com、*.youtube.com、*.gmail.com 以及更多它们被列为主题替代名称的地方。