我有两个主机设置在Apache服务器签署ssl证书。 我相信这两个虚拟主机都有正确的configuration。 首先是sub.domain.com女巫工作正常,浏览器不抱怨其证书。 第二个域是level.sub.domain.com,它会产生错误,我得到的是ssl_error_bad_cert_domain for
level.sub.domain.com使用无效的安全证书。
该证书仅对以下名称有效:*。domain.com,domain.com
* .domain.com证书是否应该支持多个级别的子域名?
* .domain.com应该只匹配域.domain.com,而不匹配domain.com或abdomain.com。
引用这个伟大的演讲 :
RFC 2595(在IMAP,POP3和ACAP中使用TLS):“*”通配符可以用作证书中最左边的名称组件。 例如,* .example.com会匹配a.example.com,foo.example.com等,但不匹配example.com。
RFC 2818(HTTP over TLS):名称可以包含通配符*,该符号被认为是匹配任何单个域名组件或组件片段。 例如, .a.com与foo.a.com匹配,但不匹配bar.foo.a.com。 f.com匹配foo.com,但不是bar.com。
RFC 4513(LDAP身份validation方法):“*”(ASCII 42)通配符允许在types为dNSName的subjectAltName值中,然后仅作为该值中最左侧(最低有效)的DNS标签。 这个通配符与服务器名称中最左边的DNS标签相匹配。 也就是说,主题* .example.com与服务器名称a.example.com和b.example.com匹配,但不匹配example.com或abexample.com。