Разрешены ли сертификаты SSL для постоянного. *. Domain.com? [duplicate]
На этот вопрос уже есть ответ здесь:
У нас есть вариант использования, в котором мы бы хотел бы предоставить сертификат SSL для:
auth.SOME_ID.example.com
Однако будет несколько значений SOME_ID. Разрешен ли подстановочный сертификат SSL для auth. *. Example.com или это должен быть поддомен самого высокого уровня?
аутентификация. *. Example.com не является допустимым именем в DNS. Подстановочная метка должна быть крайней левой меткой, и их не может быть больше одной.
Заботятся ли различные центры сертификации и браузеры о том, что это недопустимое имя DNS, - это совсем другой вопрос (поле DN в X Сертификат .509 должен быть путем к каталогу X.500, поэтому все DNS-имена для начала расположены боком), и я думаю, что на него уже был дан адекватный ответ.
Вы не можете этого сделать. На практике вы можете иметь только один подстановочный знак в DNS-имени сертификата, и он должен находиться в крайнем левом положении.
Некоторые параметры:
- Сделать
authзарезервированным именем в в вашей среде, и вместо этого спроектируйте свою систему для использованияSOME_ID.auth.example.com(*. auth.example.com- действительный сертификат с подстановочными знаками). - Разработайте свои услуги использовать префикс, чтобы имя было на том же уровне:
auth-SOME_ID.example.com. Тогда простой подстановочный сертификат*. Example.comбудет покрывать вас. - Создайте инфраструктуру для запроса новых сертификатов по мере необходимости от поставщика, такого как LetsEncrypt.org, для конкретного
auth.SOME_ID.example. comадреса, которые вам нужны.
Есть и другие. Например, вы можете стать своим собственным центром сертификации ...хотя это почти наверняка больше проблем, чем того стоит, если вы хотите, чтобы эти сертификаты пользовались всеобщим доверием. Главное - вам нужно найти другой способ добиться этого. Надо подумать, но это возможно.