Я должен купить второй Wildcard-сертификат для субдомена?
У нас уже есть Wildcard-сертификат для *.mycompany.com. Наша сеть имеет хосты, которые только достижимы внутренне. Все они принадлежат internal.mycompany.com субдомен. Существует частный сервер с именем хоста server.internal.mycompany.com на котором я развернул наш Wildcard-сертификат.
Когда я посещаю веб-сервер, я получаю ошибку несоответствия имени хоста. Сделайте я действительно должен получить другой Wildcard-сертификат для *.internal.mycompany.com или есть ли другой (свободный!?) способ использовать наш Wildcard-сертификат для всех наших субдоменов и его субдоменов, не получая ошибку в браузере?
Да, вам нужно будет купить другой сертификат *
Подстановочный знак звездочки * будет соответствовать только 1 метке в разрешенном FQDN.
Это поведение отражает RFC 4592, раздел 3.3 , в его описании сопоставления метки DNS и возврата к метке звездочки.
Если вам нужно защитить только одну конечную точку под .internal .mycompany.com. пространство имен, вам не нужен подстановочный сертификат, просто купите обычный однопользовательский сертификат.
*) Базовые требования CA / Browser Forum для выпуска общедоступного сертификата действительно разрешают подстановочные имена в расширении сертификата SAN, поэтому технически один сертификат с подстановочными знаками может быть действителен для сопоставления с подстановочными знаками на нескольких поддоменах, но я никогда не видел, чтобы этот тип продукта рекламировался в готовом виде, и я предположил бы, что это будет слишком дорого
Согласно протоколам безопасности WildCard SSL Certificate он позволяет защищать только домен первого уровня, который также включает ваш основной домен, такой как domainname.com и domain.domainname. com . Он допускает неограниченную безопасность субдоменов, но они должны быть доменами первого уровня .
Если вы хотите защитить свое субдоменное имя, которое форматируется в domain.domain.domainname.com , технические известное как имя субдомена второго уровня, то у вас должен быть другой сертификат SSL с подстановочными знаками специально для безопасности этого субдомена.
SSL-сертификат Wildcard может защищать только одноуровневые поддомены. Если у вас wildcard SSL, который выдан для *.mycompany.com, то он будет защищать mycompany.com и все его поддомены.
Если вашим требованием является защита поддоменов второго уровня, то вы должны создать CSR для *.internal.mycompany.com (при этом условии mycompany.com получит предупреждение о несовпадении доменного имени в браузерах, поэтому вам необходимо приобрести стандартный SSL сертификат для mycompany.com)
Возможно, что вы обезопасите весь свой сайт с помощью одного сертификата для нескольких доменов. С помощью SSL-сертификата для нескольких доменов можно защитить несколько веб-сайтов, поддоменов и многоуровневых поддоменов.
- mycompany.com
- mycompany.co.uk
- internal.mycompany.com
- *.mycomapany.com
- server.internal.mycompany.com ..anycompany.anytld
Многодоменный SSL-сертификат, также известный как SAN SSL-сертификат, рассчитывает каждое условие как индивидуальное имя SAN.
Вам следует оценить, сколько поддоменов создано под mycomapny.com и *.internal.mycompany.com, что поможет выбрать правильный продукт для получения сертификата.
Здесь в уже объясненном подробном сценарии - Wildcard SSL сертификат для поддомена второго уровня