Tôi có phải mua chứng chỉ ký tự đại diện thứ hai cho tên miền phụ không?


8

Chúng tôi đã có một chứng chỉ ký tự đại diện cho *.mycompany.com. Mạng của chúng tôi có các máy chủ chỉ có thể truy cập được trong nội bộ. Tất cả chúng thuộc về internal.mycompany.comtên miền phụ. Có một máy chủ riêng với tên máy chủ server.internal.mycompany.commà tôi đã triển khai chứng chỉ ký tự đại diện của chúng tôi.

Khi tôi truy cập máy chủ web, tôi gặp lỗi không khớp tên máy chủ. Tôi có thực sự phải lấy một chứng chỉ ký tự đại diện khác cho *.internal.mycompany.comhoặc có cách nào khác (miễn phí!?) Để sử dụng chứng chỉ ký tự đại diện cho tất cả các tên miền phụ và tên miền phụ của nó mà không gặp lỗi trong trình duyệt không?


2
Cách tốt nhất để có câu trả lời này là quay số nhà cung cấp ssl của bạn và hỏi họ xem có giải pháp nào cho việc này không, đây là điều tôi sẽ làm nếu gặp vấn đề với điều gì đó và tôi có một số tài khoản trả phí với nhà cung cấp. Mặc dù theo như tôi biết, không thể sử dụng thẻ hoang dã được cấp cho doamin chính của bạn cho tên miền phụ, bạn cần tạo chứng chỉ mới. .
Pratap

2
Bạn có thể triển khai một chứng chỉ gốc tự ký miễn phí cho các mục đích nội bộ.
JamesRyan

@JamesRyan: Vui lòng xem nhận xét của tôi để biết câu trả lời được chấp nhận và tại sao tôi không nghĩ rằng chứng chỉ tự ký là một giải pháp.
Rafael Bugajewski

Tôi vừa nhận được phản hồi từ Comodo: Trực Nếu bạn cần cài đặt ở một máy chủ khác cho một trong các tên miền phụ của mình, bạn cần tạo lại CSR từ máy chủ của mình và liên hệ với Thay thế CSR và cấp lại chứng chỉ của bạn. Khi bạn nhận được chứng chỉ mới, hãy thử cài đặt chứng chỉ mới đó cho Internal.mycompany.com và cấp lại chứng chỉ sẽ không ảnh hưởng đến các cài đặt trước đó.
Rafael Bugajewski

Câu trả lời:


15

Có, bạn sẽ phải mua một chứng chỉ khác *

Ký tự đại diện dấu hoa thị *sẽ chỉ khớp với 1 nhãn trong FQDN đã giải quyết.

Hành vi này phản ánh RFC 4592 Mục 3.3 , trong phần mô tả về khớp DNS và dự phòng nhãn asterisk.

Nếu bạn chỉ cần bảo mật một điểm cuối duy nhất trong .internal.mycompany.com.không gian tên, bạn không cần chứng chỉ ký tự đại diện, chỉ cần mua chứng chỉ một chủ đề thông thường.


*) Các yêu cầu cơ bản của Diễn đàn CA / Trình duyệt đối với việc cấp chứng chỉ công khai không cho phép tên ký tự đại diện trong phần mở rộng SAN của chứng chỉ, vì vậy về mặt kỹ thuật, chứng chỉ ký tự đại diện duy nhất có thể hợp lệ cho khớp ký tự đại diện trên nhiều tên miền phụ, nhưng tôi chưa bao giờ thấy loại này của sản phẩm được quảng cáo ngoài kệ ở bất cứ đâu, và tôi sẽ cho rằng nó quá đắt


Khi tôi chạy CA của riêng mình, tôi sẽ phải đảm bảo rằng tất cả các chứng chỉ được triển khai trên tất cả các máy khách vì mục tiêu của tôi là làm cho trải nghiệm người dùng không gặp rắc rối nhất có thể. Khi tôi mua chứng chỉ từ một CA đã được tin cậy, tôi chỉ phải đảm bảo triển khai mọi thứ trên máy chủ. Một vài trăm đô la là rất nhiều tiền cho sử dụng nội bộ chỉ trong năm năm, mặc dù. Tui bỏ lỡ điều gì vậy?
Rafael Bugajewski

2
Chà, trong ánh sáng đó, một vài trăm đô la trong năm năm để giảm bớt cơn đau đầu của bạn là đậu phộng :-)
Mathias R. Jessen

3
Nếu bạn có thư mục hoạt động, bạn có thể tự động đưa ra một chứng chỉ gốc tự ký cho người dùng nội bộ trên miền, quá trình này được minh bạch cho người dùng.
JamesRyan

@JamesRyan: Chúng tôi không có bất kỳ máy chủ Windows nào trong môi trường của chúng tôi, nhưng đó là một điểm thú vị. Cuối cùng, tôi cắn viên đạn, rút ​​thẻ tín dụng và mua một chứng chỉ khác cho * .iternal.mycompany.com và bây giờ mọi thứ hoạt động như dự định. Cảm ơn sự giúp đỡ của các bạn.
Rafael Bugajewski

3

Theo các giao thức bảo mật Chứng chỉ SSL của WildCard, nó chỉ cho phép bảo vệ tên miền cấp đầu tiên, bao gồm tên miền chính của bạn như domainname.com và domain.domainname.com . Nó cho phép bảo mật tên miền phụ không giới hạn nhưng chúng phải là tên miền cấp đầu tiên .

Nếu bạn muốn bảo vệ tên miền phụ của mình định dạng trong domain.domain.domainname.com mà kỹ thuật được gọi là tên miền phụ cấp hai thì bạn phải có chứng chỉ SSL ký tự đại diện khác để bảo mật tên miền phụ đó.


1

Chứng chỉ SSL Wildcard chỉ có thể bảo mật các tên miền phụ cấp đơn. Nếu bạn có SSL ký tự đại diện được cấp cho * .mycompany.com, thì nó sẽ bảo mật mycompany.com và tất cả các tên miền phụ của nó.

Nếu yêu cầu của bạn là bảo mật tên miền phụ cấp hai, vì vậy bạn nên tạo CSR cho * .iternal.mycompany.com (với điều kiện này, mycompany.com sẽ nhận được cảnh báo không khớp tên miền trong trình duyệt, vì vậy bạn cần mua SSL tiêu chuẩn Giấy chứng nhận cho mycompany.com)

Có thể bảo mật toàn bộ trang web của bạn với một chứng chỉ đa miền duy nhất. Với chứng chỉ SSL đa miền, bạn có thể bảo mật nhiều trang web, tên miền phụ và tên miền phụ đa cấp.

  • mycompany.com
  • mycompany.co.uk
  • Internal.mycompany.com
  • * .mycomapany.com
  • máy chủ.iternal.mycompany.com . .anycompany.anytld

Chứng chỉ SSL Multi Domain còn được gọi là chứng chỉ SAN SSL và tính mỗi điều kiện là một tên SAN riêng lẻ.

Bạn nên đánh giá rằng có bao nhiêu tên miền phụ được tạo trong mycomapny.com và * .iternal.mycompany.com sẽ giúp chọn đúng sản phẩm chứng chỉ.

Ở đây tại kịch bản chi tiết đã được giải thích - Chứng chỉ SSL Wildcard cho tên miền phụ cấp hai

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.