Ubuntu 为动态域（如通配符）发布ssl

您好，我正在使用

certbot

为may域和我的子域获取ssl，现在的挑战是我需要为我的客户提供白色标签，并且我需要为他们提供ssl

服务器{
监听80个默认_服务器；
侦听[：]：80默认_服务器；
如果（$scheme！=“https”）{
返回301 https://$host$request\u uri；
}#由Certbot管理
}
服务器{
侦听443 ssl默认_服务器；
侦听[：]：433 ssl默认_服务器；
root/var/www/html/larryville/public；
ssl_certificate/etc/letsencrypt/live/press.*.com/fullchain.pem；//我需要生成这个
ssl\u certificate\u key/etc/letsencrypt/live/press.*.com/privkey.pem；
添加标题X-Frame-Options“SAMEORIGIN”；
添加_头X-XSS-Protection“1；模式=块”；
添加标题X-Content-Type-Options“nosniff”；
index.html index.htm index.php；
字符集utf-8；
地点/{
try_files$uri$uri//index.php？$query_string；
}
location=/favicon.ico{access\u log off；log\u not\u found off；}
错误\u第404页/index.php；
位置~\.php${
fastcgi_pass unix:/var/run/php/php7.4-fpm.sock；
fastcgi_index.php；
fastcgi_参数脚本_文件名$realpath_根$fastcgi_脚本_名称；
包括fastcgi_参数；
fastcgi_读取超时300；
}
位置~/\.（？！知名）。*{
否认一切；
}
}

我需要ssl，比如

ssl\u certificate/etc/letsencrypt/live/press.*.com/fullchain.pem

我正在使用

ubuntu
nginx
aws ec2

谢谢
TLDR：你不能

首先，SSL/TLS证书只能在最左边（层次最低）的DNS标签中包含通配符。（并且它只能匹配一个标签，不能多或少。）请参阅和。和3.2.2.4.*和3.2.2.6的基线要求，尽管从技术上讲，论坛仅控制网络，而不是所有通信协议

这就是为什么几年前StackExchange使用HTTPS时，他们不得不将“meta”页面从旧方案
something.StackExchange.com
和
meta.something.StackExchange.com
，
other.StackExchange.com
和
meta.other.StackExchange.com
，等移动到
{something，other，etc}.meta.stackexchange.com
，因此它们都可以由cert中的一个通配符SAN条目
*.meta.stackexchange.com
覆盖，而非meta则由
*.stackexchange.com
覆盖。如果你看一下，你可能仍然可以找到（许多）Qs和关于所有问题的帖子

第二，您无法从LetsEncrypt（即certbot）或任何其他公共CA获得TLD下的通配符的证书，或者更确切地说，任何作为注册表的域，其子域（始终）由许多不同的人拥有——请参阅基线要求和。这是为了防止您欺诈性地模拟世界上几乎每一个站点/系统。
谢谢，但我的问题是，我向我们的客户提供了white lalel，他们可以指向我们的cname获取主机，但我们无法提供ssl，但我们能够通过Canmeth验证主机。您不能使用通配符。您必须使用多个证书，或者使用一个（或几个）带有多个SAN的证书；LE和certbot都支持（SAN当前最多支持100个）。如果您使用多个SAN，连接到您其中一个站点的用户将在证书中看到您支持的其他站点，这可能是您和/或您的客户的隐私问题。（例如，查看此站点的证书，您可以看到Stack还支持askubuntu、serverfault等，但页面底部的框中已经宣传了这些其他站点。）