Come creare un certificato SSL per più di un sottodominio?


20

Sto eseguendo un server "myserver.net", che ha i sottodomini "a.myserver.net" e "b.myserver.net".

Quando si creano certificati SSL (autofirmati), devo crearne uno per ogni sottodominio, contenente il nome FQDN, anche se tali sottodomini sono solo vhost.

OpenSSL consente solo un "nome comune", che è il dominio in questione. Esiste la possibilità di creare un certificato valido per tutti i sottodomini di un dominio?

Risposte:


27

Sì, utilizzare * .myserver.net come nome comune.

Questo si chiama certs jolly e ci sono molti howtos che trovano con questa parola chiave.

Eccone uno: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- certificato

Aggiornamento: se si desidera che anche cert corrisponda al dominio principale (myserver.net), è necessario utilizzare l'estensione del nome alternativo soggetto. Quando si genera un certificato usando openssh, immettere '* .myserver.net / CN = myserver.net' come Nome comune.

Compatibilmente è abbastanza buono , a meno che tu non abbia un browser antico.


Ok, ma il certificato è valido anche per il dominio radice ("myserver.net") o solo per tutti i sottodomini?
polemon

1
No, ma è possibile aggiungere un nome alternativo soggetto: utilizzare '* .myserver.net / CN = myserver.net' come nome comune. Vedi qui: artins.org/ben/... e qui: digicert.com/subject-alternative-name-compatibility.htm
rvs

Il link è morto. Puoi aggiornarlo?
Allprog,

1

Proprio come una FYI, esiste un altro tipo di certificato chiamato anche Unified Communications Certificate. È possibile emettere solo un carattere jolly, *.domain.comma un certificato UCC consente di elencare fino a 100 nomi di dominio completi (FQDN) in qualsiasi dominio. Il motivo principale per ottenere uno di questi è che Microsoft non è troppo entusiasta dei caratteri jolly per cose come controller di dominio MS, Exchange, ecc.

https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

Un Unified Communications Certificate (UCC) è un certificato SSL che protegge più nomi di dominio e più nomi host all'interno di un nome di dominio. Un UCC consente di proteggere un nome di dominio primario e fino a 99 nomi alternativi soggetti alternativi (SAN) in un unico certificato. Gli UCC sono ideali per Microsoft® Exchange Server 2007, Exchange Server 2010 e Microsoft Live® Communications Server.

Gli UCC sono compatibili con l'hosting condiviso. Tuttavia, le informazioni sul sigillo del sito e sul certificato "Rilasciato a" elencheranno solo il nome di dominio principale. Si noti che anche tutti gli account di hosting secondari saranno elencati nel certificato, quindi se non si desidera che i siti appaiano "collegati" tra loro, non è necessario utilizzare questo tipo di certificato.

Il principale svantaggio di UCC è che devi elencare tutti i tuoi domini in anticipo (i caratteri jolly non lo richiedono). Se l'elenco dovesse cambiare, dovrai ottenere un nuovo certificato. Per inciso, Namecheap (solo uno che conosco lo fa) offre un UCC di convalida estesa (si paga per dominio, il che significa che un certificato di 100 domini è MOLTO costoso), che è l'unico modo per avere un certificato EV per più di un dominio , poiché nessuno offre caratteri jolly EV.


-1

È una domanda valida Sfortunatamente da quanto ho capito i protocolli non hanno mai inteso che il proprietario di un dominio potesse firmare certificati solo per i sottodomini.

O sei una CA per qualsiasi cosa o niente. Non ci sono limiti nell'ambito quando si è una CA.

Stupido ma è così. Basta acquistare un certificato separato per ogni singolo dominio che possiedi $$$, giusto per ogni singolo, quindi non preoccuparti di cercare di proteggere i dispositivi integrati che vendi.


2
No, questo è sbagliato. Innanzitutto, vedi l'altra risposta qui, in secondo luogo, leggi cosa è effettivamente un'autorità di certificazione. Ho una CA solo per il mio dominio interno. Ci sono molte limitazioni dell'ambito per le autorità di certificazione.
HopelessN00b,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.