Tôi có thể sử dụng cùng chứng nhận ký tự đại diện cho * .domain.com và domain.com không

13

Bạn có thể tạo chứng chỉ SSL bằng cách sử dụng * .domain.com làm tên.

Nhưng thật không may, điều này không bao gồm https://domain.com

Có bất kỳ sửa chữa cho điều này?

— không xác định
nguồn

11

Tôi dường như nhớ lại rằng * .domain.com thực sự vi phạm RFC dù sao (tôi nghĩ rằng chỉ có lynx phàn nàn mặc dù :)

Tạo chứng chỉ với domain.com là CN và * .domain.com trong trường subjectAltName:dNSNametên - hoạt động.

Đối với openssl, hãy thêm phần này vào phần mở rộng:

subjectAltName          = DNS:*.domain.com

— MikeyB
nguồn

À, tôi vừa thử nó và nó không hoạt động, ít nhất là trong firefox.

— Không biết

Một chi tiết: Đảm bảo * .domain.com nằm trong trường chủ đềAltName: dNSName

— MikeyB

@Supermathie làm thế nào để tôi làm điều đó trong dòng lệnh?

— Không biết

Bạn không thể làm điều đó trực tiếp trên dòng lệnh, nhưng bạn có thể sử dụng -extfile và -extensions.

— MikeyB

+1 ... đây là cách chúng tôi xử lý chứng chỉ ký tự đại diện. Tôi không thể khen ngợi làm thế nào để làm điều này với openssl mặc dù.

— Doug Luxem

7

Thật không may, bạn không thể làm điều này. Các quy tắc xử lý ký tự đại diện trên tên miền phụ tương tự như quy tắc về cookie cho tên miền phụ.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Để xử lý việc này, bạn sẽ phải có được hai chứng chỉ, một cho *.domain.comvà một cho domain.com. Bạn sẽ cần sử dụng hai địa chỉ IP riêng biệt và hai vhost xử lý các tên miền này một cách riêng biệt.

— Dave Cheney
nguồn

2

Bạn hoàn toàn có thể làm điều này - nó được thực hiện mọi lúc - xem câu trả lời ở trên. Điều này được thực hiện bằng cách sử dụng CN và phần mở rộng tên thay thế chủ đề. techbrahmana.blogspot.com/2013/10/

— John Kloian

4

Ký tự đại diện ngày nay sẽ có * .domain.com và domain.com trong trường tên thay thế chủ đề (SAN). Chẳng hạn, hãy xem chứng chỉ SSL ký tự đại diện của quora.com

Bạn sẽ thấy

Tên thay thế của chủ đề: * .quora.com, quora.com

— Yogi
nguồn

Chỉ cần xác nhận điều này trên một trong những ký tự đại diện của riêng tôi (từ Comodo) - không phải www hoạt động tốt.

— ceejayoz

2

Có lẽ không phải là câu trả lời mà bạn đang tìm kiếm, nhưng tôi chắc chắn 99% không có cách nào. Chuyển hướng http://domain.com/ sang https://www.domain.com/ và chỉ sử dụng * .domain.com làm chứng chỉ SSL. Nó không hoàn hảo, nhưng hy vọng sẽ bao gồm hầu hết các trường hợp bạn quan tâm. Cách duy nhất khác là sử dụng các địa chỉ IP khác nhau cho domain.com và www.domain.com. Sau đó, bạn có thể sử dụng các chứng chỉ khác nhau cho mỗi IP.

— dấu
nguồn

Bạn nói đúng. "Domain.com" là một phần tử con của ".com", vì vậy ký tự đại diện hoạt động cho nó sẽ là "* .com". Đây là lý do tại sao một chứng chỉ cho * .domain.com hoạt động cho "www.domain.com" nhưng không phải là "www.acct.domain.com".

— sysadmin1138

1

Không bởi vì chúng là không gian tên hoàn toàn khác nhau. chuyển hướng tld cũng không phải là một tùy chọn vì SSL là mã hóa truyền tải, nó phải giải mã ssl trước khi apache chẳng hạn, thậm chí có thể thấy máy chủ yêu cầu chuyển hướng nó.

Cũng như một lưu ý phụ: foo.bar.domain.com cũng không hợp lệ đối với chứng chỉ ký tự đại diện (firefox từ bộ nhớ là thứ duy nhất sẽ cho phép điều đó.

— Brendan
nguồn