Preciso comprar um segundo certificado curinga para um subdomínio?

8

Já temos um certificado curinga para *.mycompany.com. Nossa rede possui hosts que são acessíveis apenas internamente. Todos eles pertencem ao internal.mycompany.comsubdomínio. Há um servidor privado com o nome do host server.internal.mycompany.comno qual implantei nosso certificado curinga.

Quando visito o servidor da Web, recebo um erro de incompatibilidade de nome de host. Preciso mesmo obter outro certificado curinga *.internal.mycompany.comou existe outra maneira (gratuita !?) de usar nosso certificado curinga para todos os nossos subdomínios e subdomínios sem obter um erro no navegador?

security ssl-certificate subdomain domain Rafael Bugajewski
fonte
2
A melhor maneira de obter essa resposta é telefonar para o seu provedor de SSL e perguntar se há alguma solução para isso. É o que eu faria se tivesse algum problema com alguma coisa e tivesse uma conta paga com o provedor. Embora, até onde eu saiba, não seja possível usar curingas emitidos para o seu doamin principal para subdomínios, você precisa criar um novo certificado. .
Pratap
2
Você pode implantar um certificado raiz autoassinado gratuito para fins internos.
JamesRyan
@ JamesRyan: Por favor, dê uma olhada no meu comentário para obter a resposta aceita e por que eu não acho que certificados autoassinados sejam uma solução.
Rafael Bugajewski
Acabei de receber uma resposta da Comodo: “Se você precisar instalar em um servidor diferente para um de seu subdomínio, precisará gerar o CSR novamente a partir do servidor e entrar em contato… para substituir o CSR e obter seu certificado reemitido. Depois de obter o novo certificado, tente instalar esse novo certificado para internal.mycompany.com e reemitir o certificado não afetará as instalações anteriores. ”
Rafael Bugajewski

Respostas:

15

Sim, você terá que comprar outro certificado *

O caractere curinga asterisco *corresponderá apenas a um rótulo em um FQDN resolvido.

Esse comportamento reflete a Seção 3.3 da RFC 4592 , em sua descrição da correspondência de rótulo DNS e do fallback para o rótulo de asterisco.

Se você precisar proteger apenas um único ponto de extremidade no .internal.mycompany.com.espaço para nome, não precisará de um certificado curinga, basta comprar um certificado de assunto único regular.

*) Os requisitos da linha de base do CA / Browser Forum para a emissão pública de certificado permitem nomes curinga na extensão de SAN de um certificado; portanto, tecnicamente, um único certificado curinga pode ser válido para correspondência curinga em vários subdomínios, mas nunca vi esse tipo de produto anunciado pronto para uso em qualquer lugar, e eu assumiria que é muito caro

Mathias R. Jessen
fonte
Quando executo minha própria CA, tenho que garantir que todos os certificados sejam implantados em todos os clientes, pois meu objetivo é tornar a experiência do usuário o mais fácil possível. Quando compro um certificado de uma CA já confiável, só preciso implantar tudo nos servidores. Algumas centenas de dólares são muito dinheiro para uso interno apenas por cinco anos. Estou esquecendo de algo?
Rafael Bugajewski
2
Bem, nessa luz, um par de centenas de dólares ao longo de cinco anos para diminuir a sua dor de cabeça é uma ninharia :-)
Mathias R. Jessen
3
Se você possui o diretório ativo, pode enviar automaticamente um certificado raiz autoassinado para usuários internos no domínio, então o processo é transparente para os usuários.
JamesRyan
@ JamesRyan: Não temos servidores Windows em nosso ambiente, mas esse é um ponto interessante. No final, mordi a bala, peguei o cartão de crédito e acabei de comprar outro certificado para * .internal.mycompany.com e agora tudo funciona como pretendido. Obrigado pela ajuda pessoal.
Rafael Bugajewski
3

De acordo com os protocolos de segurança do certificado SSL WildCard , ele permite apenas a proteção do domínio de primeiro nível, que também inclui o domínio principal, como domainname.com e domain.domainname.com . Permite segurança ilimitada de subdomínios, mas eles devem ser domínios de primeiro nível .

Se você deseja proteger seu nome de subdomínio, que formata em domain.domain.domainname.com, qual é o técnico conhecido como nome de subdomínio de segundo nível, você deve ter outro certificado SSL curinga para especificamente a segurança desse nome de subdomínio.

Jake Adley
fonte
1

O certificado SSL curinga pode proteger apenas subdomínios de nível único. Se você tiver SSL curinga emitido para * .mycompany.com, ele protegerá mycompany.com e todos os seus subdomínios.

Se o seu requisito é proteger subdomínios de segundo nível, você deve criar um CSR para * .internal.mycompany.com (com essa condição, minhaempresa.com receberá um aviso de incompatibilidade de nome de domínio nos navegadores, portanto, é necessário adquirir um SSL padrão certificado para minhaempresa.com)

É possível proteger todo o site com um único certificado de vários domínios. Com o certificado SSL de vários domínios, você pode proteger vários sites, subdomínios e subdomínios de vários níveis.

  • mycompany.com
  • mycompany.co.uk
  • internal.mycompany.com
  • * .mycomapany.com
  • server.internal.mycompany.com . .anycompany.anytld

O certificado SSL de vários domínios também conhecido como certificado SSL da SAN e conta cada condição como um nome individual da SAN.

Você deve avaliar quantos subdomínios são criados no mycomapny.com e * .internal.mycompany.com, o que ajudará a escolher o produto de certificado correto.

Aqui no cenário detalhado já explicado - certificado SSL curinga para subdomínio de segundo nível

Jason Parms
fonte