Kann ich dieselbe Wildcard-Zertifizierung für * .domain.com und domain.com verwenden?

13

Sie können ein SSL-Zertifikat erstellen, indem Sie * .domain.com als Namen verwenden.

Dies gilt jedoch leider nicht für https://domain.com

Gibt es eine Lösung dafür?

ssl certificate openssl wildcard Unbekannt
quelle

Antworten:

11

Ich erinnere mich anscheinend, dass * .domain.com sowieso gegen RFC verstößt.

Erstellen Sie ein Zertifikat mit domain.com als CN und * .domain.com im Namensfeld subjectAltName:dNSName- das funktioniert.

Fügen Sie dies für openssl zu den Erweiterungen hinzu:

subjectAltName          = DNS:*.domain.com
MikeyB
quelle
Awww, ich habe es gerade ausprobiert und es funktioniert nicht, zumindest in Firefox.
Unbekannter
Ein Detail: Stellen Sie sicher, dass sich * .domain.com im Feld subjectAltName: dNSName befindet
MikeyB,
@Supermathie wie mache ich das in der Kommandozeile?
Unbekannter
Sie können dies nicht direkt in der Befehlszeile tun, aber Sie können -extfile und -extensions verwenden.
MikeyB
+1 ... so gehen wir mit unseren Wildcard-Zertifikaten um. Ich kann jedoch nicht empfehlen, wie das mit openssl gemacht werden soll.
Doug Luxem
7

Das können Sie leider nicht. Die Regeln für den Umgang mit Platzhaltern in Subdomains ähneln den Regeln für Cookies in Subdomains.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Um dies zu bewältigen, müssen Sie zwei Zertifikate erwerben, eines für *.domain.comund eines für domain.com. Sie müssen zwei separate IP-Adressen verwenden, und vhosts two behandelt diese Domänen separat.

Dave Cheney
quelle
2
Sie können dies auf jeden Fall tun - es ist die ganze Zeit erledigt - siehe obige Antwort. Dies wird mithilfe des CN und der alternativen Namenserweiterung des Betreffs erreicht. techbrahmana.blogspot.com/2013/10/…
John Kloian
4

Wildcards haben heutzutage * .domain.com und domain.com im Feld für den alternativen Antragstellernamen (SAN). Schauen Sie sich beispielsweise das Wildcard-SSL-Zertifikat von quora.com an

Du wirst sehen

Betreff der alternativen Namen: * .quora.com, quora.com

Yogi
quelle
Habe dies gerade auf einem meiner eigenen Wildcard-Zertifikate (von Comodo) bestätigt - Nicht-WWW hat einwandfrei funktioniert.
Ceejayoz
2

Wahrscheinlich nicht die Antwort, die Sie suchen, aber ich bin mir zu 99% sicher, dass es keinen Weg gibt. Leiten Sie http://domain.com/ zu https://www.domain.com/ um und verwenden Sie einfach * .domain.com als SSL-Zertifikat. Es ist alles andere als perfekt, sollte aber hoffentlich die meisten Fälle abdecken, an denen Sie interessiert sind. Die einzige Alternative besteht darin, unterschiedliche IP-Adressen für domain.com und www.domain.com zu verwenden. Dann können Sie für jede IP unterschiedliche Zertifikate verwenden.

Kennzeichen
quelle
Du hast Recht. "domain.com" ist ein Subdomian von ".com", daher wäre der Platzhalter "* .com". Aus diesem Grund funktioniert ein Zertifikat für * .domain.com für "www.domain.com", nicht jedoch für "www.acct.domain.com".
sysadmin1138
1

Nein, weil es sich um völlig andere Namensräume handelt. Das tld umzuleiten ist ebenfalls keine Option, da SSL eine Transportverschlüsselung ist, die das ssl entschlüsseln muss, bevor beispielsweise Apache den Anforderungshost sehen kann, um es umzuleiten.

Ebenfalls als Randnotiz: foo.bar.domain.com ist auch nicht für ein Wildcard-Zertifikat gültig (Firefox aus dem Speicher ist das einzige, das dies zulässt).

Brendan
quelle