Question Puis-je utiliser la même certification générique pour * .domain.com et domain.com


Vous pouvez créer un certificat SSL en utilisant * .domain.com comme nom.

Mais malheureusement, cela ne couvre pas https://domain.com

Y at-il une solution pour cela?


12
2018-06-03 00:51


origine




Réponses:


Il semble que je me souvienne que * .domain.com viole quand même le RFC (je pense que seul Lynx se plaint cependant :)

Créez un certificat avec domain.com comme CN et * .domain.com dans le dossier subjectAltName:dNSName champ de noms - cela fonctionne.

Pour openssl, ajoutez ceci aux extensions:

subjectAltName          = DNS:*.domain.com

8
2018-06-03 00:58



Awww, je viens de l'essayer et cela ne fonctionne pas, du moins dans Firefox. - Unknown
Un détail: assurez-vous que * .domain.com est dans le champ subjectAltName: dNSName - MikeyB
@Supermathie comment puis-je faire cela en ligne de commande? - Unknown
Vous ne pouvez pas le faire directement sur la ligne de commande, mais vous pouvez utiliser -extfile et -extensions. - MikeyB
+1 ... voici comment nous traitons nos certificats génériques. Cependant, je ne peux pas recommander comment faire cela avec OpenSSL. - Doug Luxem


Malheureusement, vous ne pouvez pas faire cela. Les règles de gestion des caractères génériques sur les sous-domaines sont similaires à celles concernant les cookies pour les sous-domaines.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Pour gérer cela, vous devrez obtenir deux certificats, un pour *.domain.com et l'autre pour domain.com. Vous devrez utiliser deux adresses IP distinctes et vhosts deux gérer ces domaines séparément.


7
2018-06-14 23:25



Vous pouvez absolument le faire - cela se fait tout le temps - voir la réponse ci-dessus. Ceci est accompli en utilisant le CN et l'extension du nom de remplacement du sujet. techbrahmana.blogspot.com/2013/10/… - John Kloian


Les caractères génériques de ces jours auront * .domain.com et domain.com dans le champ sujet du nom alternatif (SAN). Par exemple, jetez un coup d'œil au certificat SSL générique de quora.com

 

Tu verras

Noms alternatifs de sujet: * .quora.com, quora.com


3
2018-01-31 20:41



Je viens de confirmer cela sur l'un de mes propres certificats wildcard (de Comodo) - les fichiers non-www fonctionnaient parfaitement. - ceejayoz


Ce n'est probablement pas la réponse que vous cherchez, mais je suis sûr à 99% qu'il n'y a pas moyen. Réorienter http://domain.com/ à https://www.domain.com/ et utilisez simplement * .domain.com comme certificat SSL. C'est loin d'être parfait, mais devrait, espérons-le, couvrir la plupart des cas qui vous intéressent. La seule autre alternative consiste à utiliser des adresses IP différentes pour domain.com et www.domain.com. Ensuite, vous pouvez utiliser différents certificats pour chaque IP.


2
2018-06-03 02:03



Vous avez raison. "domain.com" est un sous-domaine de ".com", le caractère générique qui fonctionnerait pour cela serait "* .com". C'est pourquoi un certificat pour * .domain.com fonctionne pour "www.domain.com" mais pas pour "www.acct.domain.com". - sysadmin1138♦


Non, car ils constituent un espace de noms complètement différent. rediriger le tld n'est pas une option non plus, car SSL est un cryptage de transport, il doit décoder le ssl avant qu'apache puisse même voir l'hôte de la requête pour le rediriger.

De plus, notez aussi que foo.bar.domain.com n'est pas valide pour un certificat générique (Firefox de la mémoire est le seul à le permettre.)


1
2018-06-14 23:28