假設我擁有example.com,我購買了適用於* .example.com的通配符SSL證書。管理層現在希望創建「伴侶」網站來改善現有網站。所以,如果我有foo.example.com和bar.example.com,他們可能還需要我創造meow.foo.example.com和woof.bar.example.com。您是否需要爲要加密的每個子域「級別」提供通配符SSL證書?
現有的通配符證書適用於子域網站,正如我們一直在做的一樣。我剛剛得知它不適用於子子網站。是否可以爲*。*。example.com創建通配證書?
子子域名是否需要額外的通配符證書?所以如果你想保護X級別,你需要X證書嗎?
聲明:我花了一段時間研究這個問題,但是在這個問題上有很多看似矛盾的問題/答案,所以我再次提出這個問題讓我感到不好,但是我不想通過購買的麻煩去找到後來我發現了一個錯誤。
見https://security.stackexchange.com/a/10540/68042
你只需要單獨的證書子域的每個級別,其名稱:
從理論上講,在所有主題的條目Alt名稱擴展會做,但它可能不適合某些情況下,工作單一證書。單獨的證書更安全。
要使用單獨的證書(* example.com)的情況,你可以使用名稱meow-foo.example.com代替meow.foo.example.com
你可以去多域通配符SSL證書它會保護您的子子domain.It可以下面固定通配符
- *.mydomain.tld
- *.sub1.mydomain.tld
- *.sub2.mydomain.tld
- *.anydomain.com
雖然可能有一些實現允許多個通配符,有效的答覆是沒有,多個通配符不允許。
RFC 6125(section 6.4.3)試圖闡明共同事實上的規則,並蒸餾到核心MUST的規則是有效的:
*執行文字匹配。 (非通配符)。.匹配,那麼什麼(無效的通配符).,和字面匹配開始在DNSNAME值的第二個字符。所以*.*.example.com將不匹配a.b.example.com因爲.*.example.com!= .b.example.com。
當然,有些客戶端可能已經實現了不同的匹配邏輯。但指望任何比這種解釋更鬆懈的東西,都會導致一些客戶說,如果你希望這樣做的話,這不會是一場比賽。
(好的RFC 6125第6.4.3節沒有任何實際的MUST;但是如果你尊重SHOULD NOTs並且不遵循MAY,但支持通配符匹配,那麼最終會得到上面的結果。)