证书中的多个通配符名称

我想有一个单一的networking服务器与一个单一的证书,承载以下域名:

  • onenameofthecompany.com
  • othernameofthecompany.com
  • www.onenameofthecompany.com
  • www.othernameofthecompany.com
  • bla.onenameofthecompany.com
  • bla.othernameofthecompany.com

从理论上讲,我可以创build一个具有以下特征的证书:

  • 主题包含(*。)onenameofthecompany.com
  • SubjectAlternateName包含:
    • onenameofthecompany.com
    • othernameofthecompany.com
    • * .onenameofthecompany.com
    • * .othernameofthecompany.com

我testing了这个设置,它似乎在Firefox和IE8的最新版本中工作。

问题:

  • 我应该期望与此设置的客户端兼容性问题? 任何已知的问题,例如IE6或其他旧浏览器?
  • 我应该把* .onenameofthecompany.com还是简单onenameofthecompany.com到证书的主题字段? (我知道在理论上,当SubjectAlternateNames出现在证书中时,浏览器应该忽略这个主题,实际上,我希望我知道会发生什么)
  • 有没有可以为我创build这样的证书的广泛信任的CA?

我相信你需要的是一个SAN SSL证书(主题替代名称),例如,verisign有它http://www.verisign.com/ssl/buy-ssl-certificates/specialized-ssl-certificates/san-ssl-证书/

我还听说过http://www.cacert.org/这个社区向您发放免费证书,但我没有经验。 但可能值得一试。

HTH!

在SN / SAN中一直可以包含多个通配符,但是在过去的几年里(大概在这个问题最初被问到的时候),大多数浏览器都增加了对它们的支持。 现在,你应该很难find一个证书颁发机构来颁发这样的证书,而且大多数客户应该接受它。

我会build议检查GeoTrust真正的商业ID与多域,这将为您完美的工作。 虽然它不提供您在SAN证书中添加通配符,但您最多可以添加25个域,并且它们全部受单SSL证书保护。

您可以在以下url查看:

https://www.thesslstore.com/geotrust/true-businessid-multi-domain.aspx

Gaurav Maniar MCP | MCSE | MCST | MCITP | ITILv3authentication

我根本不会使用通配符证书,因为它们可以促成一个ssl中间人攻击。

但是,如果您仍然想要:

  1. IE6 显然有处理这些问题 。

  2. 尝试使用自行颁发的证书颁发机构或CACert的不同configuration。 您将看到* .yoursite.com和yoursite.com与SAN之间的最佳状态。

  3. 看看这个页面 。 它显示所有主要的证书提供者(comodo,digicert,thawte …)都可以提供通配符证书。

我一直在使用Digicert这个非常确切的事情的商店。 查看他们的WildCard plus证书。