Apache 是否可以使用通配符证书拥有有效的子域?
假设我拥有以下域:Apache 是否可以使用通配符证书拥有有效的子域?,apache,ssl,ssl-certificate,Apache,Ssl,Ssl Certificate,假设我拥有以下域: example.com 我有此域的通配符SSL证书。子域,如test.example.com正确验证。但是,当我尝试使用类似于demo.test.example.com的域时,在所有主要浏览器中都会收到一条错误消息: demo.test.example.com uses an invalid security certificate. The certificate is only valid for the following names: *.example.co
example.com
我有此域的通配符SSL证书。子域,如test.example.com
正确验证。但是,当我尝试使用类似于demo.test.example.com
的域时,在所有主要浏览器中都会收到一条错误消息:
demo.test.example.com uses an invalid security certificate.
The certificate is only valid for the following names:
*.example.com , example.com
可以为“子域”使用通配符证书吗?好吧,您已经验证了不能!原因如下: 发件人: 名称可能包含通配符*,通配符被认为是 匹配任何单个域名
组件或组件片段。例如。,
*.a.com
匹配foo.a.com
但不匹配bar.foo.a.com
f*.com匹配
foo.com
但不是bar.com
是的,您可以使用通配符。但它们只扩展到那个级别的子域
*.example.com
适用于test.example.com
,但不适用于demo.test.example.com
您必须在证书中指定
*.*.example.com
。我不确定这是否会继续适用于test.example.com
标准不允许通配符在多个级别上工作。但是,您可以将特定的多级子域作为通配符证书中的主题替代名称放入,它将起作用。一些证书提供程序(如DigiCert)允许这样做。从技术上讲,您可以在证书中指定以下替代名称,然后它就可以工作了:
example.com
*.example.com
*.*.example.com
我不知道是否有提供此类证书的证书颁发机构。快速回答:没有。不过,这个问题最好继续问下去。请3位投票人解释一下为什么这不是一个有用的答案?从技术角度来看,这似乎是正确的,至少在RFC2818正确实现的情况下是如此!他还说了一个很好的观点,即某些CA可能不会颁发多级通配符证书(尽管有些CA提供了多级通配符证书,甚至包括用于推广该证书的几个级别的down-digicert),而不是downvoter,但在尝试使用openssl创建
*.local,*.*.local
证书后,这在实践中似乎不起作用。Chrome抱怨“服务器无法证明它是x.y.local;其安全证书来自*.local”。但是,使用*.local、*.y.local
重新生成证书是可行的。