Mehrere Platzhalternamen in einem Zertifikat

7

Ich hätte gerne einen einzigen Webserver mit einem einzigen Zertifikat, das die folgenden Domänen hostet:

  • onenameofthecompany.com
  • othernameofthecompany.com
  • www.onenameofthecompany.com
  • www.othernameofthecompany.com
  • bla.onenameofthecompany.com
  • bla.othernameofthecompany.com
  • ...

Theoretisch könnte ich ein Zertifikat mit folgenden Merkmalen erstellen:

  • Betreff enthält (*.) Onenameofthecompany.com
  • SubjectAlternateName enthält:
    • onenameofthecompany.com
    • othernameofthecompany.com
    • * .onenameofthecompany.com
    • * .anderer Name der Firma.com

Ich habe dieses Setup mit getestet und es scheint in einer neueren Version von Firefox und IE8 zu funktionieren.

Fragen:

  • Sollte ich mit Client-Kompatibilitätsproblemen bei diesem Setup rechnen? Bekannte Probleme mit zB IE6 oder anderen älteren Browsern?
  • Sollte ich * .onenameofthecompany.com oder einfach onenameofthecompany.com in das Feld Betreff im Zertifikat einfügen? (Ich weiß, dass theoretisch, wenn SubjectAlternateNames in einem Zertifikat vorhanden sind, der Browser den Betreff ignorieren sollte. In der Praxis wünschte ich, ich wüsste, was passiert.)
  • Gibt es allgemein vertrauenswürdige Zertifizierungsstellen, die ein solches Zertifikat für mich erstellen könnten?
ssl-certificate Zizzencs
quelle
Gibt es einen Grund, warum Sie keinen Namen haben können wie: www.other.nameofthecompany.com und www.nameofthecompany.com? Ihre Frage spiegelt diese Möglichkeiten nicht wider.
Djangofan
Nun, das Zertifikat sollte mehr als 250 Domainnamen mit diesem * Zeichen abdecken. Ich denke das erklärt es.
Zizzencs
Hast du jemals eine endgültige Antwort bekommen? Die unten als "Antwort" gekennzeichnete Frage scheint keine tatsächliche Antwort darauf zu geben, ob sich die mehreren Platzhalter im SAN-Feld befinden können.
Jslatts

Antworten:

5

Ich glaube, Sie benötigen ein SAN-SSL-Zertifikat (alternativer Name des Betreffs). Verisign hat es beispielsweise unter http://www.verisign.com/ssl/buy-ssl-certificates/specialized-ssl-certificates/san-ssl- Zertifikate /

Ich habe auch von http://www.cacert.org/ gehört, einer Community, die Ihnen kostenlose Zertifikate ausstellt, aber ich habe keine Erfahrung damit. Könnte aber einen Versuch wert sein.

HTH!

byte_slave
quelle
2
Leider ist CAcert meiner Erfahrung nach keine praktikable Option. Fast niemand verwendet sie, da sie in Browsern nicht weit verbreitet sind. Ich und meine Gruppe von Linux-Benutzern hier haben den Prozess durchlaufen, Unterzeichner zu werden, als sie herauskamen, aber ich habe seit Jahren ehrlich gesagt niemanden mehr danach gefragt. Es ist eine großartige Idee, hat aber meiner Meinung nach keine Traktion.
Sean Reifschneider
Ja, ich würde ein SAN-Zertifikat benötigen, in dem im Feld SAN Platzhalterdomänen aufgeführt sind.
Zizzencs
CACert: Ab heute erhalte ich eine Zertifikatwarnung, wenn ich eine sichere Seite auf der eigenen Website cacert.org besuche. Firefox sagt, dass man ihnen nicht trauen kann.
Alph.Dev
4

Es war immer möglich, mehrere Platzhalter in ein SN / SAN aufzunehmen, aber die Mehrheit der Browser hat sie in den letzten Jahren unterstützt (ungefähr zu der Zeit, als diese Frage ursprünglich gestellt wurde). Jetzt sollten Sie keine Probleme haben, eine Zertifizierungsstelle zu finden, die ein solches Zertifikat ausstellt, und die meisten Kunden sollten es akzeptieren.

Chris S.
quelle
2

Ich würde vorschlagen, die GeoTrust True Business ID mit Multi Domain zu überprüfen, die perfekt für Sie funktioniert. Sie können jedoch keinen Platzhalter zum SAN-Zertifikat hinzufügen. Sie können bis zu 25 Domänen hinzufügen, die alle durch ein einzelnes SSL-Zertifikat geschützt sind.

Sie können es unter folgender URL überprüfen:

https://www.thesslstore.com/geotrust/true-businessid-multi-domain.aspx

Gaurav Maniar MCP | MCSE | MCST | MCITP | ITILv3-zertifiziert

maniargaurav
quelle
0

Ich würde überhaupt keine Wildcard-Zertifikate verwenden, da sie einen SSL-Man-in-the-Middle-Angriff ermöglichen können.

Wenn Sie dennoch möchten:

  1. IE6 hatte anscheinend einige Probleme damit.

  2. Probieren Sie verschiedene Konfigurationen entweder mit einer selbst ausgestellten Zertifizierungsstelle oder mit CACert aus. Sie werden sehen, was mit * .yoursite.com und yoursite.com mit SAN am besten ist.

  3. Schauen Sie sich diese Seite an . Es zeigt, dass alle großen Zertifikatanbieter (comodo, digicert, thawte ...) Platzhalterzertifikate bereitstellen können.

Petrus
quelle
0

Ich war in Geschäften, die Digicert für genau diese Sache verwenden. Schauen Sie sich ihre WildCard plus Zertifikate an.

Belmin Fernandez
quelle
Ah warte. Ich habe den othernameofthecompany.comTeil verpasst . Ich werde meine Antwort jedoch offen lassen, da einige sie nützlich finden könnten.
Belmin Fernandez
Es gibt keine automatisierte Möglichkeit, dies zu tun. Wenn Sie sich jedoch an den Digicert-Support wenden, kann dieser die Kombination für Sie erledigen.
Xiong Chiamiov