Ich möchte wissen, ob Zertifikate einen doppelten Platzhalter wie unterstützen *.*.example.com
. Ich habe gerade mit meinem derzeitigen SSL-Anbieter (register.com) telefoniert und das Mädchen dort sagte, dass sie so etwas nicht anbieten und dass sie es sowieso nicht für möglich hielt.
Kann mir jemand sagen, ob dies möglich ist und ob Browser dies unterstützen?
ssl
subdomain
certificate
wildcard
Aleksander Blomskøld
quelle
quelle
*.*.example.com
. Keine Ahnung warum.*.a.a.com
,*.b.a.com
,*.c.a.com
, ... manuell?.
Dinge in Ihrem Domain-Namen zu trennen - Domains sind Domain-Angelegenheiten. Warum sollten Siephpmyadmin.serverX.domain.com
, wennphpmyadmin-serverX.domain.com
semantisch genauer und einfacher in Bezug auf DNS und TLS zu handhaben ist.Antworten:
RFC2818 besagt:
Internet Explorer verhält sich wie im RFC beschrieben, wobei jede Ebene ein eigenes Zertifikat mit Platzhalterzeichen benötigt. Firefox ist mit einem einzigen * .domain.com zufrieden, bei dem * alles vor domain.com übereinstimmt, einschließlich other.levels.domain.com, aber auch die Typen *. *. Domain.com.
Um Ihre Frage zu beantworten: Es ist möglich und wird von Browsern unterstützt.
quelle
SubjectAltName: DNS:foo.*.example.com, DNS:bar.*.example.com
sub1.sub2.mydomain.com
mit einem*.mydomain.com
Zertifikat zugreifen , obwohl das Zertifikat gültig fürsub2.mydomain.com
. Also, so gut ich das beurteilen kann, ist diese Antwort tatsächlich falsch, zumindest heute. In Anbetracht der Tatsache, dass es auch einen Kommentar von jemandem gab, der sagte, dass er das Verhalten an dem Tag, an dem die Antwort veröffentlicht wurde , nicht reproduzieren könne , bin ich skeptisch, ob es jemals richtig war.Nur zur Bestätigung akzeptiert FF und IE 8 KEINE Zertifikate in der Form,
*.*.example.com
obwohl es technisch möglich ist, sie zu erstellen.quelle
*.a.a.com
,*.b.a.com
,*.c.a.com
manuell?Wenn ein Wildcard-SSL-Zertifikat für * .domain.com ausgestellt wird, können Sie Ihre unbegrenzte Anzahl von Subdomains über die Hauptdomain sichern.
Zum Beispiel:
Wenn das Wildcard-SSL-Zertifikat auf * .1.domain.com ausgestellt ist, können Sie in diesem Fall alle Subdomains der zweiten Ebene sichern, die unter der .1.domain.com aufgeführt sind
Zum Beispiel:
Wenn Sie eine begrenzte Anzahl von Sub-Domains und Second-Level-Domains sichern möchten, können Sie Multi-Domain-SSL auswählen, mit dem bis zu 100 Domain-Namen mit einem einzigen Zertifikat gesichert werden können.
Zum Beispiel:
Sie sollten Ihre tatsächlichen Anforderungen kennen, um ein SSL-Zertifikat zu wählen.
quelle
Dies könnte eine neue Testrunde mit aktuellen Browserversionen wert sein.
Mein persönlicher Schnelltest ergibt: Firefox 20.0.1 scheint dies immer noch nicht zu unterstützen. Es zeigt:
... beim Surfen zu https://svn.project.mydomain.com .
Internet Explorer 9.0:
Anmerkungen:
quelle
Ich habe nur ein paar Nachforschungen angestellt, da ich die gleichen Anforderungen an die Sicherung von Sub-Sub-Domains habe, und bin auf eine Lösung von DigiCert gestoßen.
Diese Zertifikate sagen , es wird unterstützt
yourdomain.com
,*.yourdomain.com
,*.*.yourdomain.com
und so weiter.Es ist derzeit recht teuer, aber die Hoffnung ist, dass andere Anbieter ähnliche Zertifikate anbieten und die Preise senken.
quelle
Alle Antworten hier sind veraltet oder nicht vollständig korrekt, wenn man den RFC 6125 von 2011 nicht berücksichtigt.
Gemäß RFC 6125 ist im am weitesten links stehenden Fragment nur ein einziger Platzhalter zulässig.
Gültig:
Ungültig:
Ein Fragment, oder auch "label" genannt, ist eine geschlossene Komponente, zB:
*.com
(2 labels) stimmt nicht übereinlabel.label.com
(3 labels) - dies wurde bereits in RFC 2818 definiert.Vor 2011 in RFC 2818 war die Einstellung nicht vollständig klar:
Dies hat sich mit RFC 6125 ab 2011 (6.4.3) geändert:
quelle
Obwohl ich mich nicht mit Ihrer Frage befasse, habe ich gerade vor Minuten etwas darüber gelesen:
https://www.instantssl.com/articles/can-you-create-a-wildcard-ssl-certificate-for-two-levels.php
Dies erklärt, dass Sie keinen doppelten Stern verwenden können
Bearbeiten
Fügen Sie einen Teil des Zitats hinzu, falls die Website ausfällt oder zu lange zum Lesen ist
quelle
Was Sie tun können, ist etwas wie * .domain.com und dann * .www.domain.com oder * .mail.domain.com. Ich habe *. *. Domain.com noch nie auf einer Produktionssite gesehen.
Sie können einen Platzhalter (* .domain.com) erhalten, benötigen jedoch auch * .www.domain.com als alternativen Eintrag für den Antragstellernamen, damit dies funktioniert. Die einzigen mir bekannten Unternehmen, die dies anbieten, sind ssl.com und digicert. Es mag andere geben, aber ich bin mir nicht sicher.
quelle
-d *.domain.com -d *.sub1.domain.com -d *.sub2.domain.com
.