說我有以下領域:是否有可能擁有一個有通配符證書的有效子子域?
example.com
我對這個領域通配符SSL證書。子域名test.example.com正確驗證。然而,當我嘗試使用像demo.test.example.com域,我在所有的主流瀏覽器得到一個錯誤信息:
demo.test.example.com uses an invalid security certificate.
The certificate is only valid for the following names:
*.example.com , example.com
是否可以使用通配符證書「子子域」?
那麼,你已經證實你不能!這裏的原因:
來源:http://www.ietf.org/rfc/rfc2818.txt
名稱可能含有被認爲 匹配任何單個域名
部件或部件片段通配符*。例如,*.a.com匹配foo.a.com但不是bar.foo.a.com。f*.com matchesfoo.com但不是bar.com。
是的,你可以使用通配符。但是它們只能擴展到子域的那個級別。
*.example.com適用於test.example.com,但不適用於demo.test.example.com。您需要在證書中指定*.*.example.com。我不確定這是否會繼續使用test.example.com。
該標準不允許通配符在多個級別上工作。但是,您可以將特定的多級子域作爲通配符證書中的「使用者備用名稱」,它將起作用。一些證書提供者(如DigiCert)允許這樣做。
從技術上講,你可以指定證書下面的替代名稱,然後它應該工作:
example.com
*.example.com
*.*.example.com
我不知道是否有提供這種證書的證書頒發機構。
三個downvoters請解釋爲什麼這不是一個有用的答案?從技術的角度來看,我似乎是正確的,至少在RFC 2818正確實施的時候!此外,他還有一個很好的觀點,即某些CA可能不會頒發多級通配符證書(儘管有些提供了它們,甚至有幾個級別 - 例如digicert用於推廣這個證書) – Levit 2014-10-10 09:17:43
不是downvoter,而是嘗試過創建一個' * .local,*。*。本地'帶有openssl的證書,這在實際中似乎不起作用。 Chrome抱怨說「服務器無法證明它是** x.y.local **;其安全證書來自***。local **」。但是,使用'* .local,* .y.local'重新生成證書確實有效。 – Barry 2018-01-04 08:59:55
快速回答:不是。儘管這個問題在http://serverfault.com/上可能會更好。 – Wrikken 2010-06-21 19:56:30