爲根域生成CSR（包括www還是不是？）

Question

我正在嘗試首次設置SSL。我從Gandi.net購買了我的域名和SSL證書。他們的文檔說

subdomain.example.com指示您要 保護的子域。這是最重要的部分。如果您要激活一個單一地址 證書，則應將其放入完整的子域（例如 foo.example.com）。 www子域是由CA， 例如，example.com自動添加將確保雙方example.com和 www.example.com如果你有一個通配符證書，你應該把在 A *的子域（例如* .example.com）。通配符證書 保護原始域（不含子域）。 - http://wiki.gandi.net/en/ssl/csr

我主持我在Heroku和他們的文檔應用程序說：

通用名稱字段必須與安全域匹配。 您不能爲 購買根域（例如example.com）的證書，並且 希望保護www.example.com。反過來也是如此。 此外，SSL端點僅支持每個應用程序一個證書。 請記住多域名應用程序的這一點，並指定一個匹配所有必需域名的公用域名 。 - https://devcenter.heroku.com/articles/ssl-endpoint#acquire-ssl-certificate

這些似乎有衝突。請指教！

Answer 1

這取決於您選擇證書頒發機構（CA）來購買證書。 其中一些提供替代域名包括「www」像選項其中一些沒有。

正如你上面寫的：

我主持我的應用程序在Heroku和他們的文件說：

通用名稱字段必須與安全域匹配。您不能爲 購買根域（例如example.com）的證書，並且 希望保護www.example.com。反過來也是如此。 此外，SSL端點僅支持每個應用程序一個證書。 請記住多域名應用程序的這一點，並指定一個匹配所有必需域名的公用域名 。 - https://devcenter.heroku.com/articles/ssl-endpoint#acquire-ssl-certificate

這是真的 - 因爲yourdomain.com和wwww.yourdomain.com被視爲不同的域（多域）和證書必須是可信的認識他們兩個。因此，在生成CSR串之前，請仔細閱讀CA提供的CSR字符串和功能要求。

Answer 2

你會想要從一個權威機構獲得證書supports the Subject Alternate Name X.509 extension。

這將讓你得到它的通用名稱設置爲www.mydomain.com域，和一個備用名稱設置爲mydomain.com（如Lloeki指出，你應該提供都名作爲替代名稱）。