我的公司“ourcompany”拥有二级DNS域名: ourcompany.org 。 我们目前使用此域名,以及www.ourcompany.org和feature1.ourcompany.org ,并为这些第三级域名生成SSL证书。
然后,我们订阅了第三方托pipe服务,托pipe在我们的ourcompany.thirdparty.org 。 他们处理SSL并拥有主题为thirdparty.org并具有Subject Alternative Name *.thirdparty.org 。
此第三方公司还提供了添加自定义域的function。 所以我们在DNSconfiguration中添加了一个CNAMElogging,现在我们有了feature2.ourcompany.org指向feature2.ourcompany.org 。 显然,在访问feature2.ourcompany.org时,SSL feature2.ourcompany.org 。
然后,第三方公司也要求我们通过TXT DNS条目来certificate我们是域名的所有者,他们能够以某种方式更新他们的SSL证书,并添加以下主题替代名称: *.ourcompany.org和*.ourcompany.org 。
feature2.ourcompany.org更多的域名),或者由于TXT条目(在这种情况下,有人能指出我解释这个过程的资源)? 在查看了我们的DNSconfiguration之后,似乎证书颁发机构validation了第三方公司证书中的SAN条目,因为他们要求我们添加一个TXT条目: globalsign-domain-verification=XXXXXXX ,其中XXXXXXX是由GlobalSign到第三方公司(有关GlobalSignfunction的文档很难find,但我可以在这里find一些东西)。 这回答了第二和第三个问题。
对于第一个,似乎TXT条目被设置为第二级域名,第三方公司现在被授权在其证书的SAN条目中包括第二级域名以及其下的任何第三级域名。
第三方公司需要进行validation以certificate您可以访问域(就像godaddyvalidation简单的SSL证书一样)
这并不意味着他们有权访问您的域名和/或可以接pipe您的域名。 这也不意味着他们可以通过自己的证书build立连接。 这只是一个单独的证书,当你指向一个匹配的DNSlogging到他们的服务器时,他们将发放证书。 处理单个主机/地址上的许多证书是相当commin,因为今天sni(服务器名称指示)得到很好的支持。