我问这个问题,因为Comodo告诉我,* .example.com的通配符证书也将保护根域example.com。 所以只需一个证书,my.example.com和example.com就可以在没有来自浏览器的警告的情况下得到保护。
但是,我提供的证书并非如此。 我的子域安全性很好,不会给出错误,但根域会在浏览器中抛出一个错误,表示无法validation身份。
当我将这个证书与其他类似的场景进行比较时,我发现在主题备用名称(SAN)列出* .example.com和example.com的情况下,而Comodo最近的证书只列出了*。 example.com作为通用名称,而不是example.com作为主题备用名称。
任何人都可以确认/澄清,根域应列入SAN的细节,如果它也是正确的安全?
当我读到这个: http : //www.digicert.com/subject-alternative-name.htm看来,SAN必须列出这两个为了工作,因为我需要它。 你有什么经验?
非常感谢。
SSL实现方式与通配符匹配方式存在一些不一致之处,但是您需要使用root作为替代名称才能与大多数客户端一起使用。
对于*.example.com证书,
a.example.com应该通过 www.example.com应通过 example.com不应该通过 abexample.com可能会通过实施(但可能不会)。 基本上,标准说*应该匹配1个或多个非点字符,但有些实现允许一个点。
规范的答案应在RFC 2818(HTTP over TLS)中 :
匹配使用[RFC2459]指定的匹配规则执行。 如果证书中存在给定types的多个身份(例如,多个dNSName名称,则任何一个集合中的匹配被认为是可接受的)。名称可以包含通配符*,其被认为匹配任何单个域名组件或组件片段。 例如,
*.a.com与foo.a.com匹配,但不匹配bar.foo.a.com。f*.com与foo.com匹配,但不是bar.com。
RFC 2459说:
- “*”通配符可以用作证书中最左边的名称组件。 例如,
*.example.com会匹配a.example.com,foo.example.com等,但不匹配example.com。
如果您需要证书来为example.com,www.example.com和foo.example.com工作,则需要带有subjectAltNames的证书,以便您拥有“example.com”和“* .example.com”(或示例.com和所有其他名称,你可能需要匹配)。
你是正确的,根域需要是一个替代名称来validation。
我曾经使用的每个SSL提供商都会自动将根域名作为主题备用名称添加到通配符SSL证书,因此DOMAIN.COM将自动为* .DOMAIN.COM通配符证书工作。
为* .domain.com理想地生成通配符证书为了使用此证书保护您的子域和域,您所要做的就是在指向这些域的服务器上安装相同的证书。
对于前 – 你有通配符证书* .test.com one.test.com – 服务器1 test.com – 服务器2
您需要在服务器1和服务器2上安装此证书。