Muss ich ein zweites Wildcard-Zertifikat für eine Subdomain kaufen?

8

Wir haben bereits ein Wildcard-Zertifikat für *.mycompany.com. Unser Netzwerk verfügt über Hosts, die nur intern erreichbar sind. Alle von ihnen gehören zur internal.mycompany.comSubdomain. Es gibt einen privaten Server mit dem Hostnamen, server.internal.mycompany.comauf dem ich unser Platzhalterzertifikat bereitgestellt habe.

Wenn ich den Webserver besuche, wird ein Fehler bei der Nichtübereinstimmung des Hostnamens angezeigt. Muss ich wirklich ein anderes Platzhalterzertifikat erhalten *.internal.mycompany.comoder gibt es eine andere (kostenlose!?) Möglichkeit, unser Platzhalterzertifikat für alle unsere Subdomains und deren Subdomains zu verwenden, ohne dass ein Fehler im Browser angezeigt wird?

Rafael Bugajewski
quelle
2
Der beste Weg, um diese Antwort zu erhalten, besteht darin, Ihren SSL-Anbieter anzurufen und ihn zu fragen, ob es eine Lösung dafür gibt. Dies würde ich tun, wenn ich ein Problem mit etwas habe und ein bezahltes Konto beim Anbieter habe. Obwohl es meines Wissens nicht möglich ist, Platzhalter zu verwenden, die für Ihr Haupt-Doamin für Sub-Sub-Domains ausgestellt wurden, müssen Sie ein neues Zertifikat erstellen. .
Pratap
2
Sie können ein kostenloses selbstsigniertes Stammzertifikat für interne Zwecke bereitstellen.
James Ryan
@ JamesRyan: Bitte werfen Sie einen Blick auf meinen Kommentar, um die akzeptierte Antwort zu erhalten und warum ich nicht denke, dass selbstsignierte Zertifikate eine Lösung sind.
Rafael Bugajewski
Ich habe gerade eine Antwort von Comodo erhalten: „Wenn Sie für eine Ihrer Subdomains auf einem anderen Server installieren müssen, müssen Sie die CSR erneut von Ihrem Server generieren und sich an… wenden, um die CSR zu ersetzen und Ihr Zertifikat erneut auszustellen. Wenn Sie das neue Zertifikat erhalten haben, versuchen Sie, dieses neue Zertifikat für internal.mycompany.com zu installieren, und stellen Sie das Zertifikat erneut aus. Dies hat keine Auswirkungen auf die vorherigen Installationen. “
Rafael Bugajewski

Antworten:

15

Ja, Sie müssen ein anderes Zertifikat kaufen *

Das Sternchen-Platzhalterzeichen *stimmt nur mit 1 Bezeichnung in einem aufgelösten vollqualifizierten Domänennamen überein.

Dieses Verhalten spiegelt RFC 4592, Abschnitt 3.3 , in seiner Beschreibung des DNS-Label-Abgleichs und des Fallbacks auf das Sternchen-Label wider .

Wenn Sie nur einen einzelnen Endpunkt unter dem .internal.mycompany.com.Namespace sichern müssen, benötigen Sie kein Platzhalterzertifikat. Kaufen Sie einfach ein reguläres Einzelobjektzertifikat.


*) Die Grundanforderungen des CA / Browser-Forums für die Ausstellung öffentlicher Zertifikate erlauben Platzhalternamen in der SAN-Erweiterung eines Zertifikats. Technisch gesehen könnte ein einzelnes Platzhalterzertifikat für den Platzhalterabgleich in mehreren Subdomänen gültig sein, aber ich habe diesen Typ noch nie gesehen von Produkt von der Stange überall beworben, und ich würde annehmen, dass es zu teuer ist

Mathias R. Jessen
quelle
Wenn ich meine eigene Zertifizierungsstelle verwende, muss ich sicherstellen, dass alle Zertifikate auf allen Clients bereitgestellt werden, da mein Ziel darin besteht, die Benutzererfahrung so problemlos wie möglich zu gestalten. Wenn ich ein Zertifikat von einer bereits vertrauenswürdigen Zertifizierungsstelle kaufe, muss ich nur sicherstellen, dass alles auf den Servern bereitgestellt wird. Ein paar hundert Dollar sind jedoch nur fünf Jahre lang eine Menge Geld für den internen Gebrauch. Vermisse ich etwas
Rafael Bugajewski
2
Nun, in diesem Licht sind ein paar hundert Dollar über fünf Jahre, um Ihre Kopfschmerzen zu lindern, Erdnüsse :-)
Mathias R. Jessen
3
Wenn Sie über ein Active Directory verfügen, können Sie ein selbstsigniertes Stammzertifikat automatisch an interne Benutzer in der Domäne senden. Der Vorgang ist dann für Benutzer transparent.
James Ryan
@ JamesRyan: Wir haben keine Windows-Server in unserer Umgebung, aber das ist ein interessanter Punkt. Am Ende habe ich die Kugel gebissen, die Kreditkarte herausgenommen und gerade ein weiteres Zertifikat für * .internal.mycompany.com gekauft und jetzt funktioniert alles wie vorgesehen. Vielen Dank für Ihre Hilfe Jungs.
Rafael Bugajewski
3

Gemäß den Sicherheitsprotokollen des WildCard SSL-Zertifikats ist nur der Schutz der Domäne der ersten Ebene möglich, zu der auch Ihre Hauptdomäne wie domainname.com und domain.domainname.com gehört . Es ermöglicht unbegrenzte Sicherheit von Subdomains, diese müssen jedoch Domains der ersten Ebene sein .

Wenn Sie Ihren Subdomainnamen schützen möchten, der in domain.domain.domainname.com formatiert ist und als Subdomainname der zweiten Ebene bezeichnet wird, müssen Sie über ein anderes Wildcard-SSL-Zertifikat für die Sicherheit dieses Subdomainnamens verfügen.

Jake Adley
quelle
1

Das Wildcard-SSL-Zertifikat kann nur einstufige Subdomänen sichern. Wenn Sie über Wildcard-SSL verfügen, das für * .mycompany.com ausgestellt wurde, werden mycompany.com und alle Subdomains gesichert.

Wenn Sie Subdomains der zweiten Ebene sichern möchten, sollten Sie CSR für * .internal.mycompany.com erstellen (unter dieser Bedingung wird mycompany.com in den Browsern eine Warnung zur Nichtübereinstimmung von Domainnamen erhalten, sodass Sie ein Standard-SSL erwerben müssen Zertifikat für mycompany.com)

Es ist möglich, dass Sie Ihre gesamte Website mit einem einzigen Multi-Domain-Zertifikat sichern. Mit dem Multi Domain SSL-Zertifikat können Sie mehrere Websites, Subdomains und mehrstufige Subdomains sichern.

  • mycompany.com
  • mycompany.co.uk
  • internal.mycompany.com
  • * .mycomapany.com
  • server.internal.mycompany.com . .anycompany.anytld

Das Multi-Domain-SSL-Zertifikat wird auch als SAN-SSL-Zertifikat bezeichnet und zählt jede Bedingung als individuellen SAN-Namen.

Sie sollten bewerten, wie viele Unterdomänen unter mycomapny.com und * .internal.mycompany.com erstellt wurden, um das richtige Zertifikatprodukt auszuwählen.

Hier im bereits erläuterten Detailszenario - Wildcard-SSL-Zertifikat für Subdomain der zweiten Ebene

Jason Parms
quelle