Gostaria de saber se é possível criar um certificado curinga com um prefixo.
Eu sei que *.example.comvai cobrir qualquer coisa no primeiro nível (por exemplo. one.example.com, two.example.com, three-four.example.com, Etc), mas não vai cobrir another.one.example.comporque é 2 níveis.
Eu preciso ter um certificado curinga que reconheça um prefixo; assim seria www.*.example.com.
Isso significa, www.one.example.com, www.two.example.com, www.three.example.com, etc faria todo o trabalho corretamente.
Isso é possível e existe um provedor de certificados que pode fazer isso?
Respostas:
Não. De acordo com as regras do fórum do navegador da CA, RFC2818 e RFC6125 apenas um curinga é permitido e somente no rótulo à esquerda. O que significa que não
www.*.example.comexiste*.*.example.comnem existe . Em vez disso, é necessário adicionar todos os domínios necessários na parte do nome alternativo do assunto do certificado, mas você pode ter várias entradas e pode usar caracteres curinga, por exemplo*.sub1.example.com,*.sub2.example.cometc.Esses certificados com vários nomes curinga são comuns (consulte o certificado do Facebook), o que significa que existem fornecedores de certificados que oferecem esses certificados. Mas eles vão custar mais do que outros.
fonte
Talvez você precise usar o SubjectAltName.
Dê uma olhada em: http://wiki.cacert.org/FAQ/subjectAltName
fonte
Crie um
.cnfarquivo como o seguinte, com o qual você usaopenssl req -new -out example.com.csr -key example.com.key -config example.com.cnf. Você pode criar o arquivo de chave usandoO
example.com.cnfarquivo:fonte