Вам нужен подстановочный SSL-сертификат для каждого уровня «под-домен», который вы хотите зашифровать?

Question

Предположим, что у меня есть example.com и я покупаю подстановочный сертификат SSL, который работает для * .example.com. Теперь управление хочет создать «сопутствующие» сайты для создания существующих сайтов. Так что, если у меня есть foo.example.com и bar.example.com они могли бы также хотел, чтобы я создать meow.foo.example.com и woof.bar.example.com.

Существующий сертификат подстановочных знаков работает для сайтов поддоменов, как мы это делали все время. Я только что узнал, что он НЕ работает на сайтах суб-домена. Можно ли создать сертификат подстановки для *. *. Example.com?

Может ли дополнительный суб-субдомен запрашивать дополнительный подстановочный знак? Итак, если вы хотите защитить уровни X, вам нужны сертификаты X?

Отказ от ответственности: Я провел некоторое время, исследуя это, но нахожусь много, казалось бы, противоречивых вопросов/ответов на SO, поэтому я чувствую себя плохо, спрашивая об этом снова, но я не хочу переживать хлопоты покупки, чтобы найти позже я совершил ошибку.

Answer 1

См https://security.stackexchange.com/a/10540/68042

вам просто нужно отдельный сертификат для каждого уровня субдомена, с именами:

• example.com
• * .example.com
• .. Example.com
• .. *. Example.com

Теоретически, единичный сертификат со всеми этими записями в расширении Subject Alt Name будет работать, но в некоторых случаях это может не сработать. Отдельные сертификаты более безопасны.

Чтобы использовать один сертификат (для * .example.com), вы можете использовать имена meow-foo.example.com вместо meow.foo.example.com

Answer 2

Вы можете пойти на Multi-домен Wildcard SSL сертификат это обеспечит ваш суб-суб domain.It может обеспечить ниже подстановочные знаки

- *.mydomain.tld 
- *.sub1.mydomain.tld 
- *.sub2.mydomain.tld 
- *.anydomain.com 

Answer 3

Хотя может быть несколько реализаций, которые позволяют несколько групповых символов, эффективно ответ нет, несколько подстановочных знаков не допускается.

RFC 6125 (section 6.4.3) пытается выяснение общих правил де-факто, и перегоняет до основных сусла правила эффективно:

• Если первый символ не * выполнить буквальный матч. (Без группового символа).
• Если второй символ не . затем матч ничего (недействительная подстановочный)
• Найти в кандидата матча первого . и буквальное матч, начиная со вторым символом в значении dNSName.

Так *.*.example.com не будет соответствовать a.b.example.com потому .*.example.com! = .b.example.com.

Конечно, некоторые клиенты могут реализовать свою логику соответствия по-разному. Но рассчитывая на что-нибудь более слабое, чем эта интерпретация, некоторые клиенты говорят, что это не совпадение, когда вы надеялись.

(В разделе 6.4.3 раздела RFC 6125 нет реальных MUSTs, но если вы уважаете СЛЕДУЮЩИЕ NOT и не следуете MAY, но поддерживаете сопоставление подстановочных знаков, вы в конечном итоге вышесказанное.)