我在网上search了一个清晰而简洁的答案,但是却无济于事。 所以在这里:
我有一个Web服务需要SSL支持authentication页面。 根级域没有“www” – 即secure://domain.com – 但本地化页面使用“language-code.domain.com”,即secure://ja.domain.com
所以我至less需要一个支持secure://*.domain.com的通配符SSL证书
但是,我们在sandbox.domain.com上也有一个公用的沙箱环境,我们也需要在本地化的域下支持 – 这样安全://ja.sandbox.domain.com也需要工作。
以前的pipe理员设法为.domain.com购买通配符SSL证书,但是使用“domain.com”的主题备用名称。 所以,我正在考虑试图获得SANs定义为“domain.com”和“ 。*。domain.com” 的通配符证书 。
但现在我感到困惑,因为似乎有单独的SAN证书,也被称为UCC证书。
有人可以澄清是否有可能获得通用证书与额外的SAN领域,最终是什么最好的方式来支持:
secure://domain.com secure:// .domain.com secure://。*。domain.com
用最less(也是最便宜的)数量的SSL证书?
谢谢!
首先,SAN证书= UCC证书。 它们都只是具有SubjectAltName字段的证书。
其次,通配符。 .domain.com不适用于大多数浏览器。 您需要获得两个通配符证书(一个用于* .sandbox.domain.com,另一个用于* .domain.com),或者获取* .domain.com的通配符证书,并让您的SSL提供者将特定的SubjectAltName .sandbox.domain.com。 我认为DigiCert和GlobalSign提供这个。
根据http://ssl.com ,在技术上可以将UCC和通配符证书结合起来。 从本质上讲,他们build议使用带有一个主题名称的UCC证书,其中包含通配符:* .domain.com – 他们注意到您需要额外支付UCC中的通配符。
要覆盖无限的子域名,只需在通用名称字段中创build通配符域(即* .sitename.com),或者在购买UCC时创buildSAN(主题备用名称)…您甚至可以在SAN字段中添加其他通配符如* .sub1.sitename.com
只需在通用名称字段中创build通配符域(即* .sitename.com),或者在购买UCC(或创build一个)时创buildSANS(使用者替代名称)。 大多数CA将向您收取每个通配符域作为标准通配符证书。
例如Comodo在购买他们的UCC证书时注意到:
通配符域可以被添加到UCC每个域399.00美元的附加费。
让我们encryption
从http://LetsEncrypt.com讨论板看,这个function似乎也可能在2015年晚些时候推出
主要的事情要记住:
所以这取决于很多因素,但是包含所有域名(包括通配符)的一个UCC可能是一个更好的解决scheme,比许多不同的证书更容易pipe理。
(另外,仅供参考 – 看起来像Let's Encrypt目前没有设置为处理通配符 。)