我需要为格式为(live | test)。(clientname).clients.example.org(例如live.xyzltd.clients.example.org)的客户端创build一系列主机名,每个客户端都有自己独立的VirtualHost容器并运行通过Apache上的HTTPS。 由于网站的数量和地址的稀缺性,我不能为每个主机分配一个IPv4,也不能使用服务器名称指示(在当前库中的支持几乎不存在),并且对主机名主题另类名字也出来了。
理想情况下,我只需为* .clients.example.org提供一个证书,因为理论上覆盖了所有内容,但是RFC 2818不允许。但是,由于我知道主机名将始终为*forms。 * .clients.example.org,是否可以创build一个包含多个通配符的证书来实现这一点? 我将使用自签名证书,因此,只要技术上可能,这不是商业基础上提供的。
您不能使用多个通配符创build证书,这打破了检查证书的方式。
但是,你可以做的事情是做* .clients.example.org,因为即使RFC 2818不允许,它也是实际上与大多数SSL客户端一起工作的方式。
通用名称中不能包含多个通配符,但可以有多个通配符“使用者替代名称”。 例如,您可以添加以下SAN:
* .xyzltd.clients.example.org * .abcltd.clients.example.org * .defltd.clients.example.org
但是,如果每个客户端只有两个子域名,则只能将名称数量减半。 您可以将命名scheme更改为testxyzltd.clients.example.org,以便它们全部由* .clients.example.org的一个证书覆盖。