Posso usar a mesma certificação curinga para * .domínio.com e domínio.com

13

Você pode criar um certificado SSL usando * .domain.com como o nome.

Infelizmente, isso não abrange https://domain.com

Existe alguma correção para isso?

ssl certificate openssl wildcard Desconhecido
fonte

Respostas:

11

Eu me lembro que * .domain.com realmente viola a RFC de qualquer maneira (acho que apenas o lynx reclama embora :)

Crie um certificado com domain.com como CN e * .domain.com no subjectAltName:dNSNamecampo de nomes - isso funciona.

Para openssl, adicione isso às extensões:

subjectAltName          = DNS:*.domain.com
MikeyB
fonte
Awww, eu apenas tentei e não funciona, pelo menos no Firefox.
Desconhecido
Um detalhe: Certifique * .domain.com está no subjectAltName: Campo dNSName
MikeyB
@Supermathie, como faço isso na linha de comando?
Desconhecido
Você não pode fazer isso diretamente na linha de comando, mas pode usar -extfile e -extensions.
MikeyB
+1 ... é assim que lidamos com nossos certificados curinga. Não posso recomendar como fazer isso com o openssl.
Doug Luxem
7

Infelizmente você não pode fazer isso. As regras para manipulação de curingas em subdomínios são semelhantes às regras sobre cookies para subdomínios.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Para lidar com isso, você precisará obter dois certificados, um para *.domain.come outro para domain.com. Você precisará usar dois endereços IP separados e os vhosts dois lidam com esses domínios separadamente.

Dave Cheney
fonte
2
Você pode absolutamente fazer isso - é feito o tempo todo - veja a resposta acima. Isso é feito usando o CN e a extensão de nome alternativo do assunto. techbrahmana.blogspot.com/2013/10/…
John Kloian
4

Os curingas hoje em dia terão * .domain.com e domain.com no campo de nome alternativo do assunto (SAN). Por exemplo, veja o certificado SSL curinga de quora.com

Você verá

Nomes alternativos de assuntos: * .quora.com, quora.com

Yogi
fonte
Acabei de confirmar isso em um dos meus próprios curingas (da Comodo) - o não-www funcionou muito bem.
precisa saber é o seguinte
2

Provavelmente não é a resposta que você está procurando, mas tenho 99% de certeza de que não há uma maneira. Redirecione http://domain.com/ para https://www.domain.com/ e use apenas * .domain.com como o certificado SSL. Está longe de ser perfeito, mas espero que cubra a maioria dos casos nos quais você está interessado. A única outra alternativa é usar endereços IP diferentes para domain.com e www.domain.com. Então você pode usar certificados diferentes para cada IP.

Marca
fonte
Você está certo. "domain.com" é um subdomínio de ".com", portanto, o curinga que funcionaria para ele seria "* .com". É por isso que um certificado para * .domínio.com funciona para "www.domínio.com", mas não para "www.acct.domínio.com".
sysadmin1138
1

Não, porque eles são um espaço de nome completamente diferente. redirecionar o tld também não é uma opção, porque o SSL é uma criptografia de transporte, ele precisa decodificar o SSL antes que o apache, por exemplo, possa até ver o host da solicitação para redirecioná-lo.

Também como uma observação lateral: foo.bar.domain.com também não é válido para um certificado curinga (o Firefox da memória é o único que permitirá isso.

Brendan
fonte