假设我拥有域名domainname.com以及在该域名上设置多个网站作为子域名,但是这些网站还使用了几个特殊的端点作为更多子域名,我可以将它们全部放在1个SAN +通配符SSL证书上,以及提供者可能支持创build所述证书
即我要保护什么:
domainname.com siteXXX.domainname.com (where siteXXX refers to the sub sites token) www.domainname.com api.domainname.com mail.domainname.com www.siteXXX.domainname.com api.siteXXX.domainname.com mail.siteXXX.domainname.com 所以我想我需要的东西看起来像
domainname.com *.domainname.com (covers siteXXX, api, www, mail) www.*.domainname.com (covers www.siteXXX) api.*.domainname.com (covers api.siteXXX) mail.*.domainname.com (covers mail.siteXXX)
甚至允许这个标准,我不知道,因为我只能find通配符组件的例子作为最低级子域,而不是中级子域。
即使您向这些SAN颁发证书,也不会在浏览器或任何遵循PKI最佳实践的应用程序(例如,从IETF中阅读此RFC)上validation这些域。
您正在考虑作为该证书所涵盖的所有域的合法所有者,但是如果浏览器接受了www.*.com的证书,该怎么办?
我拥有www.zip.com ,但是这不应该使我能够颁发证书来validationwww.amazon.com 。
通配符SSL证书只覆盖其注册名称上的子域。 *.domain.com SSL证书将涵盖domain.com下的所有内容,但不包括domain.com的子domain.com 。 所以,它不会涵盖second.first.domain.com 。
尽pipe通配符证书不包含多个子域,但可以将其作为SAN添加到证书中。 要做到这一点,请与您的证书颁发者检查如何做到这一点。 大多数人会这样做。 您只需在其中添加另一个星号的子域。 因此,我可以将*.first.domain.com的SAN添加到证书,这将覆盖我的second.first.domain.com域。 它也涵盖了它下面的任何东西。 并且一定要添加根域本身,因为通配符证书不包括它(我认为)。
因此,针对您的问题,您可以获得通配证书保护
*.domainname.com
随着SAN的SAN
domainname.com *.siteXXX.domainname.com
我希望这有帮助!