我需要一个自签名证书来覆盖多个URL,可以用下面的代码表示:
*.foo.com *.faa.fii.bar.com 使用替代名称,我设法创build了这样的证书,但访问时,我从浏览器中得到一个证书错误
bla.foo.com
我为****创build了另一个证书faa.fii.bar.com ***,没有****。foo.com ***。 这次我给了几个其他网站的备用名称,但都属于bar.com。
所以通用的名字是
*.faa.fii.bar.com
和另外的名字是:
*.fii.bar.com *.bar.com *.fee.bar.com
这适用于任何匹配这些模式的url,所以a.fii.bar.com或a.bar.com与证书一起工作。 但是,如果我添加*.foo.com ,它看起来就像*.bar.com ,那么不会接受诸如a.foo.com类的url,而接受a.bar.com 。
这个限制是如何定义的?
您面临的问题是,证书中的*仅与完全限定名称的单个子部分匹配。 所以*.example.com匹配a.example.com和xyzzy.example.com ,但不匹配foo.bar.example.com 。 要进一步匹配FQDN,您需要添加更多的星号,导致拥有大量subjectAltName条目的证书,如:
*.example.com *.*.example.com *.*.*.example.com
等等。