Apache 是否可以使用通配符证书拥有有效的子域？_Apache_Ssl_Ssl Certificate

Apache 是否可以使用通配符证书拥有有效的子域？

apache ssl

Apache 是否可以使用通配符证书拥有有效的子域？,apache,ssl,ssl-certificate,Apache,Ssl,Ssl Certificate,假设我拥有以下域： example.com 我有此域的通配符SSL证书。子域，如test.example.com正确验证。但是，当我尝试使用类似于demo.test.example.com的域时，在所有主要浏览器中都会收到一条错误消息： demo.test.example.com uses an invalid security certificate. The certificate is only valid for the following names: *.example.co

假设我拥有以下域：

example.com

我有此域的通配符SSL证书。子域，如

test.example.com

正确验证。但是，当我尝试使用类似于

demo.test.example.com

的域时，在所有主要浏览器中都会收到一条错误消息：

demo.test.example.com uses an invalid security certificate.

The certificate is only valid for the following names:
  *.example.com , example.com

可以为“子域”使用通配符证书吗？

好吧，您已经验证了不能！原因如下：

发件人：

名称可能包含通配符*，通配符被认为是匹配任何单个域名
组件或组件片段。例如。，

*.a.com

匹配

foo.a.com

但不匹配

bar.foo.a.com

f*.com匹配

foo.com

但不是

bar.com

是的，您可以使用通配符。但它们只扩展到那个级别的子域

*.example.com

适用于

test.example.com

，但不适用于

demo.test.example.com

您必须在证书中指定

*.*.example.com

。我不确定这是否会继续适用于

test.example.com

标准不允许通配符在多个级别上工作。但是，您可以将特定的多级子域作为通配符证书中的主题替代名称放入，它将起作用。一些证书提供程序（如DigiCert）允许这样做。

从技术上讲，您可以在证书中指定以下替代名称，然后它就可以工作了：

example.com
*.example.com
*.*.example.com

我不知道是否有提供此类证书的证书颁发机构。

快速回答：没有。不过，这个问题最好继续问下去。请3位投票人解释一下为什么这不是一个有用的答案？从技术角度来看，这似乎是正确的，至少在RFC2818正确实现的情况下是如此！他还说了一个很好的观点，即某些CA可能不会颁发多级通配符证书（尽管有些CA提供了多级通配符证书，甚至包括用于推广该证书的几个级别的down-digicert），而不是downvoter，但在尝试使用openssl创建

*.local，*.*.local

证书后，这在实践中似乎不起作用。Chrome抱怨“服务器无法证明它是x.y.local；其安全证书来自*.local”。但是，使用

*.local、*.y.local

重新生成证书是可行的。