Posso utilizzare la stessa certificazione con caratteri jolly per * .domain.com e domain.com


Risposte:


11

Mi sembra di ricordare che * .domain.com in realtà viola comunque la RFC (penso che solo la lince si lamenta però :)

Crea un certificato con domain.com come CN e * .domain.com nel subjectAltName:dNSNamecampo dei nomi - che funziona.

Per openssl, aggiungi questo alle estensioni:

subjectAltName          = DNS:*.domain.com

Awww, l'ho appena provato e non funziona, almeno in Firefox.
Sconosciuto il

Un dettaglio: assicurarsi che * .domain.com sia nel campo subjectAltName: dNSName
MikeyB

@Supermathie come posso farlo nella riga di comando?
Sconosciuto il

Non puoi farlo direttamente dalla riga di comando, ma puoi usare -extfile e -extensions.
MikeyB,

+1 ... ecco come gestiamo i nostri certificati jolly. Non posso elogiarmi su come farlo con openssl.
Doug Luxem,

7

Sfortunatamente non puoi farlo. Le regole per la gestione dei caratteri jolly sui sottodomini sono simili alle regole sui cookie per i sottodomini.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Per gestire ciò dovrai ottenere due certificati, uno per *.domain.come l'altro per domain.com. Dovrai utilizzare due indirizzi IP separati e due host due gestiranno questi domini separatamente.


2
Puoi assolutamente farlo - è fatto tutto il tempo - vedi la risposta sopra. Ciò si ottiene utilizzando la CN e l'estensione del nome alternativo soggetto. techbrahmana.blogspot.com/2013/10/…
John Kloian,

4

In questi giorni i caratteri jolly avranno * .domain.com e domain.com nel campo del nome alternativo soggetto (SAN). Ad esempio, dai un'occhiata al certificato SSL jolly di quora.com

Vedrai

Nomi alternativi soggetto: * .quora.com, quora.com


Ho appena confermato questo su uno dei miei certificati jolly (da Comodo) - non www ha funzionato bene.
Ceejayoz,

2

Probabilmente non è la risposta che stai cercando, ma sono sicuro al 99% che non c'è modo. Reindirizza http://domain.com/ a https://www.domain.com/ e usa * .domain.com come certificato SSL. È tutt'altro che perfetto, ma si spera che copra la maggior parte dei casi che ti interessano. L'unica altra alternativa è utilizzare indirizzi IP diversi per domain.com e www.domain.com. Quindi è possibile utilizzare certificati diversi per ciascun IP.


Hai ragione. "domain.com" è un sottodominio di ".com", quindi il carattere jolly che funzionerebbe per esso sarebbe "* .com". Ecco perché un certificato per * .domain.com funziona per "www.domain.com" ma non per "www.acct.domain.com".
sysadmin1138

1

No perché sono spazi dei nomi completamente diversi. il reindirizzamento di tld non è un'opzione neanche perché SSL è una crittografia di trasporto che deve decodificare ssl prima che ad esempio apache possa persino vedere l'host della richiesta per reindirizzarlo.

Anche come nota a margine: foo.bar.domain.com non è valido anche per un certificato jolly (firefox dalla memoria è l'unico che lo consentirà.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.