Devo acquistare un secondo certificato con caratteri jolly per un sottodominio?

8

Abbiamo già un certificato jolly per *.mycompany.com. La nostra rete ha host raggiungibili solo internamente. Tutti appartengono al internal.mycompany.comsottodominio. Esiste un server privato con il nome host server.internal.mycompany.comsu cui ho distribuito il nostro certificato con caratteri jolly.

Quando visito il server Web ricevo un errore di mancata corrispondenza del nome host. Devo davvero ottenere un altro certificato con caratteri jolly *.internal.mycompany.como esiste un altro modo (gratuito !?) per utilizzare il nostro certificato con caratteri jolly per tutti i nostri sottodomini e relativi sottodomini senza ottenere un errore nel browser?

security  ssl-certificate  subdomain  domain 
Rafael Bugajewski
fonte
2
Il modo migliore per ottenere questa risposta è comporre il tuo provider SSL e chiedere loro se esiste una soluzione per questo, questo è quello che farei se avessi qualche problema con qualcosa e avessi un account a pagamento con il provider. Anche se per quanto ne so non è possibile utilizzare i caratteri jolly emessi per il tuo doamin principale per il sottodominio, è necessario creare un nuovo certificato. .
Pratap,
2
È possibile distribuire un certificato radice autofirmato gratuito per scopi interni.
JamesRyan,
@JamesRyan: Dai un'occhiata al mio commento per la risposta accettata e perché non penso che i certificati autofirmati siano una soluzione.
Rafael Bugajewski,
Ho appena ricevuto una risposta da Comodo: “Se devi installare in un server diverso per uno dei tuoi sottodomini, devi generare di nuovo il CSR dal tuo server e contattare ... per sostituire il CSR e ottenere il tuo certificato riemesso. Una volta ottenuto il nuovo certificato, prova a installare quel nuovo certificato per internal.mycompany.com e riemettere il certificato non influirà sulle installazioni precedenti. "
Rafael Bugajewski,

Risposte:

15

Sì, dovrai acquistare un altro certificato *

Il carattere jolly asterisco *corrisponderà solo a 1 etichetta in un nome di dominio completo risolto.

Questo comportamento riflette RFC 4592 Sezione 3.3 , nella sua descrizione della corrispondenza dell'etichetta DNS e del fallback sull'etichetta dell'asterisco.

Se è necessario proteggere un solo endpoint nello .internal.mycompany.com.spazio dei nomi, non è necessario un certificato con caratteri jolly, è sufficiente acquistare un normale certificato a soggetto singolo.

*) I requisiti di base del forum CA / Browser per l'emissione di certificati pubblici consentono nomi di caratteri jolly nell'estensione SAN di un certificato, quindi tecnicamente un singolo certificato jolly potrebbe essere valido per la corrispondenza dei caratteri jolly su più sottodomini, ma non ho mai visto questo tipo del prodotto pubblicizzato in commercio ovunque, e riterrei che sia apertamente costoso

Mathias R. Jessen
fonte
Quando eseguo la mia CA, dovrei assicurarmi che tutti i certificati siano distribuiti su tutti i client poiché il mio obiettivo è rendere l'esperienza utente il più semplice possibile. Quando compro un certificato da un'autorità di certificazione già attendibile, devo solo assicurarmi di distribuire tutto sui server. Tuttavia, un paio di centinaia di dollari sono un sacco di soldi per uso interno solo per cinque anni. Mi sto perdendo qualcosa?
Rafael Bugajewski,
2
Bene, in questa luce, un paio di centinaia di dollari in cinque anni per alleviare il mal di testa sono le noccioline :-)
Mathias R. Jessen,
3
Se si dispone di una directory attiva, è possibile inviare automaticamente un certificato root autofirmato agli utenti interni sul dominio, quindi il processo è trasparente per gli utenti.
JamesRyan,
@JamesRyan: Non abbiamo server Windows nel nostro ambiente, ma questo è un punto interessante. Alla fine ho morso il proiettile, ho estratto la carta di credito e ho appena acquistato un altro certificato per * .internal.mycompany.com e ora tutto funziona come previsto. Grazie per il vostro aiuto ragazzi.
Rafael Bugajewski,
3

Secondo i protocolli di sicurezza del certificato SSL WildCard , consente solo la protezione del dominio di primo livello che include anche il dominio principale come domainname.com e domain.domainname.com . Consente la sicurezza illimitata dei sottodomini ma devono essere domini di primo livello .

Se si desidera proteggere il nome del proprio sottodominio che formatta in domain.domain.domainname.com quale tecnico noto come nome di sottodominio di secondo livello, è necessario disporre di un altro certificato SSL con caratteri jolly specifico per la sicurezza del nome di sottodominio.

Jake Adley
fonte
1

Il certificato SSL Wildcard può proteggere solo sottodomini di livello singolo. Se disponi di un jolly SSL emesso per * .mycompany.com, proteggerà mycompany.com e tutti i suoi sottodomini.

Se il tuo requisito è proteggere i sottodomini di secondo livello, quindi dovresti creare CSR per * .internal.mycompany.com (con questa condizione, mycompany.com riceverà un avviso di mancata corrispondenza del nome di dominio nei browser, quindi devi acquistare un SSL standard certificato per mycompany.com)

È possibile proteggere l'intero sito Web con un singolo certificato multi dominio. Con il certificato SSL multi dominio, è possibile proteggere più siti Web, sottodomini e sottodomini multilivello.

  • mycompany.com
  • mycompany.co.uk
  • internal.mycompany.com
  • * .mycomapany.com
  • server.internal.mycompany.com . .anycompany.anytld

Il certificato SSL multi-dominio noto anche come certificato SAN SSL e conta ogni condizione come un singolo nome SAN.

È necessario valutare il numero di sottodomini creati in mycomapny.com e * .internal.mycompany.com che aiuteranno a scegliere il prodotto certificato corretto.

Qui allo scenario di dettaglio già spiegato - Certificato SSL jolly per sottodominio di secondo livello

Jason Parms
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.