我们已经有*.mycompany.com的通配符证书。 我们的networking具有只能在内部访问的主机。 所有这些都属于internal.mycompany.com子域。 有一个私人服务器与主机名称server.internal.mycompany.com我部署我们的通配符证书。
当我访问Web服务器时,出现主机名称不匹配错误。 我是否真的必须为*.internal.mycompany.com获得另一个通配符证书,或者是否有另一种(免费!?)方式来使用我们的通配符证书来处理所有子域及其子域,而不会在浏览器中出现错误?
星号通配符*将仅匹配parsing的FQDN中的1个标签。
此行为反映了RFC 4592的第3.3节中对DNS标签匹配和回退到星号标签的描述。
如果您只需要保护.internal.mycompany.com.下的单个端点.internal.mycompany.com. 命名空间,你不需要通配符证书,只需购买一个普通的单科证书。
*) 公钥证书颁发的CA /浏览器论坛基线要求 允许在证书的SAN扩展中使用通配符名称,因此从技术上讲,单个通配符证书可能适用于多个子域中的通配符匹配,但是我从未见过这种types的产品在任何地方广告,我会认为它是非常昂贵的
根据WildCard SSL证书安全协议,它只允许保护第一级域名,其中也包括您的主域名,如domainname.com和domain.domainname.com 。 它允许无限的子域安全,但他们必须是一级域名 。
如果你想保护你的子域名在domain.domain.domainname.com中的哪种格式被称为二级子域名,那么你必须具有另一个通配的SSL证书,专门用于子域名安全。
通配符SSL证书只能保护单个级别的子域名。 如果您为* .mycompany.com发布通配符SSL,则会保护mycompany.com及其所有子域。
如果您的要求是保护二级子域名,那么您应该为* .internal.mycompany.com创buildCSR(在这种情况下,mycompany.com将在浏览器中获得域名不匹配的警告,因此您需要购买一个标准的SSL mycompany.com证书)
使用单个多域名证书保护您的整个网站是可能的。 借助多域SSL证书,您可以保护多个网站,子域和多级子域。
多域SSL证书也称为SAN SSL证书,并将每个条件计为单独的SAN名称。
您应该评估在mycomapny.com和* .internal.mycompany.com下创build了多less个子域,这将有助于select正确的证书产品。
这里已经解释了详细的情况 – 第二级子域的通配符SSL证书