Tên chung Wildcard SSL - nó có thể được gọi là gì không?


34

Tôi chỉ tự hỏi liệu chứng chỉ SSL ký tự đại diện có nhất thiết phải có một tên chung có chứa tên miền của các trang web cần chứng chỉ SSL được áp dụng hay không.

Ví dụ: cho các mục sau:

Tên miền: testdomain.com

Trang web con:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytesten môi.testdomain.com

Tôi có nhất thiết cần chứng chỉ ký tự đại diện của mình để có một tên chung *.testdomain.comkhông?


serverfault.com có ​​thể là một nơi tốt hơn cho câu hỏi này.

Câu trả lời:


38

Có, tên chung của bạn phải là * .yourdomain.com cho chứng chỉ ký tự đại diện.

Về cơ bản, Tên chung là trạng thái chứng chỉ của bạn phù hợp với tên miền nào, vì vậy nó phải chỉ định tên miền thực tế.

Làm rõ: Không nên "chứa" tên miền của các trang web, nó phải tên miền của các trang web. Tôi đoán không có sự khác biệt trong câu hỏi của bạn, tôi chỉ muốn làm rõ, trong trường hợp có một quan niệm sai lầm về tên miền nên là gì, hoặc chứng chỉ sẽ được sử dụng để làm gì.


4

Trên thực tế, bạn nên sử dụng dnsNamecác mục trong subjectAltNamephần chứng chỉ để chỉ định FQDN, không phải phần CN của subject. Sử dụng subjectcho mục đích này đã không được chấp nhận vì RFC 2818 đã được xuất bản năm 2000. Phần trích dẫn 3.1 :

Nếu có phần mở rộng objectAltName của loại dNSName, thì PHẢI được sử dụng làm danh tính. Mặt khác, trường Tên chung (cụ thể nhất) trong trường Chủ đề của chứng chỉ PHẢI được sử dụng. Mặc dù việc sử dụng Tên chung là thông lệ hiện có, nhưng nó không được chấp nhận và Cơ quan Chứng nhận được khuyến khích sử dụng dNSName thay thế.

Trường hợp duy nhất mà nội dung của subjectcó liên quan trong bối cảnh xác thực chứng chỉ máy chủ là nếu không dnsNamecó trong đó subjectAltName, một trường hợp không được chấp nhận trong 17 năm qua tại thời điểm viết.

Việc sử dụng chứng chỉ ký tự đại diện không được chấp nhận, như thể hiện trong phần 7.2 của RFC 6125 :

Tài liệu này nói rằng ký tự đại diện '*' KHÔNG NÊN được đưa vào các số nhận dạng được trình bày nhưng CÓ THỂ được kiểm tra bởi các ứng dụng khách (chủ yếu vì mục đích tương thích ngược với cơ sở hạ tầng được triển khai).

Sử dụng cùng một khóa riêng cho một số dịch vụ thường được coi là thông lệ xấu. Nếu một trong các dịch vụ bị xâm phạm, thông tin liên lạc từ các dịch vụ khác sẽ gặp rủi ro và bạn sẽ phải thay thế khóa (và chứng chỉ) cho tất cả các dịch vụ.

Tôi đề nghị RFC 6125 là một nguồn thông tin tốt về vấn đề này.


"Và các chứng chỉ ký tự đại diện cũng vậy": bạn có thể giải thích rõ hơn không? dnsNamecó thể chứa một miền ký tự đại diện. Ngoài ra, những gì nên có trong subjecttrường hợp đó?
WoJ

Hãy xem RFC 6125 phần 1.57.2 . Miễn là subjectAltNamechứa ít nhất một dnsName, nội dung của subjectkhông liên quan trong bối cảnh xác minh chứng chỉ.
Erwan Legrand

@WoJ Tôi đã chỉnh sửa câu trả lời của tôi. Tôi hy vọng điều này là rõ ràng hơn bây giờ.
Erwan Legrand

3

Có, Chứng chỉ SSL Wildcard là giải pháp tốt nhất theo yêu cầu của bạn. Với chứng chỉ Wildcard, bạn sẽ có thể bảo vệ thông tin của khách truy cập. Không có vấn đề, trang nào của trang web của bạn được gửi. Chứng chỉ ký tự đại diện đảm bảo không giới hạn số lượng tên miền phụ có chung tên miền.

Cài đặt cùng một chứng chỉ ký tự đại diện trên tất cả các tên miền phụ & máy chủ sẽ gây rủi ro sẵn có: nếu một máy chủ hoặc tên miền phụ bị xâm phạm, tất cả các tên miền phụ đều có thể bị xâm phạm như nhau. Đảm bảo rằng trang web của bạn được bảo vệ với nhiều cấp độ bảo vệ khỏi mọi áp lực bên ngoài và bên trong.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.