Tôi đang chạy một máy chủ "myserver.net", có các tên miền phụ "a.myserver.net" và "b.myserver.net".
Khi tạo chứng chỉ SSL (tự ký), tôi phải tạo một chứng chỉ cho mọi tên miền phụ, có chứa FQDN, mặc dù những tên miền phụ đó chỉ là vhost.
OpenSSL chỉ cho phép một "tên chung", đó là tên miền được đề cập. Có khả năng tạo chứng chỉ hợp lệ cho tất cả các tên miền phụ của tên miền không?
Câu trả lời:
Có, sử dụng * .myserver.net làm tên chung.
Điều này được gọi là certs ký tự đại diện và có số lượng lớn tìm kiếm bằng cách sử dụng từ khóa này.
Đây là một trong số họ: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- chứng chỉ
Cập nhật: nếu bạn muốn cert cũng khớp với tên miền gốc (myserver.net), thì bạn nên sử dụng tiện ích mở rộng Tên thay thế chủ đề. Khi tạo cert bằng cách sử dụng openssh, hãy nhập '* .myserver.net / CN = myserver.net' làm Tên chung.
Tương thích là đủ tốt , trừ khi bạn có một trình duyệt cổ xưa.
Cũng giống như một FYI, có một loại chứng chỉ khác cũng được gọi là Chứng chỉ truyền thông hợp nhất. Một ký tự đại diện chỉ có thể được cấp cho *.domain.comnhưng chứng chỉ UCC cho phép bạn liệt kê tối đa 100 Tên miền đủ điều kiện (FQDN) trong bất kỳ tên miền nào. Lý do chính để có được một trong những điều này là Microsoft không quá quan tâm đến các ký tự đại diện cho những thứ như bộ điều khiển MS Domain, Exchange, v.v.
https://www.godaddy.com/help/what-is-a-multipl-domain-ucc-ssl-cert ve-390
Chứng chỉ truyền thông hợp nhất (UCC) là chứng chỉ SSL bảo mật nhiều tên miền và nhiều tên máy chủ trong một tên miền. UCC cho phép bạn bảo mật một tên miền chính và tối đa 99 Tên thay thế chủ đề (SAN) bổ sung trong một chứng chỉ. UCC là lý tưởng cho Microsoft® Exchange Server 2007, Exchange Server 2010 và Microsoft Live® Communications Server.
UCC tương thích với lưu trữ chia sẻ. Tuy nhiên, thông tin "Cấp phát" và chứng chỉ trang web sẽ chỉ liệt kê tên miền chính. Xin lưu ý rằng bất kỳ tài khoản lưu trữ thứ cấp nào cũng sẽ được liệt kê trong chứng chỉ, vì vậy nếu bạn không muốn các trang web xuất hiện 'được kết nối' với nhau, bạn không nên sử dụng loại chứng chỉ này.
Nhược điểm chính của UCC là bạn phải liệt kê tất cả các tên miền của bạn lên phía trước (ký tự đại diện không yêu cầu điều này). Nếu danh sách thay đổi, bạn sẽ phải nhận chứng chỉ mới. Ngẫu nhiên, Namecheap (chỉ một người tôi biết làm điều này) cung cấp UCC Xác thực mở rộng (bạn phải trả cho mỗi tên miền, có nghĩa là chứng chỉ 100 tên miền RẤT đắt), đó là cách duy nhất để có chứng chỉ EV cho nhiều hơn một tên miền , vì không ai cung cấp EV Wildcards.
Đó là một câu hỏi hợp lệ. Thật không may từ những gì tôi hiểu các giao thức không bao giờ có ý định chủ sở hữu của một tên miền để có thể ký chứng chỉ cho các tên miền phụ.
Bạn là một CA cho bất cứ điều gì hoặc không có gì. Không có giới hạn trong phạm vi một khi bạn là CA.
Ngốc nghếch nhưng đó là như vậy. Chỉ cần mua một chứng chỉ riêng cho mỗi tên miền mà bạn sở hữu $$$, điều đó đúng với từng tên miền, vì vậy đừng cố gắng bảo mật các thiết bị nhúng mà bạn bán.