Могу ли я использовать тот же сертификат подстановки для * .domain.com и domain.com

Вы можете сделать SSL-сертификат, используя имя * .domain.com в качестве имени.

Но, к сожалению, это не распространяется на https://domain.com

Есть ли какое-либо исправление для этого?

12 голосов | спросил Unknown 3 J0000006Europe/Moscow 2009, 04:51:59

5 ответов


8

Мне кажется, что * .domain.com фактически нарушает RFC в любом случае (я думаю, что только lynx жалуется:)

Создайте сертификат с domain.com как CN и * .domain.com в поле имен subjectAltName:dNSName - это работает.

Для openssl добавьте это к расширениям:

subjectAltName          = DNS:*.domain.com
ответил MikeyB 3 J0000006Europe/Moscow 2009, 04:58:11
7

К сожалению, вы не можете этого сделать. Правила обработки подстановок на поддоменах аналогичны правилам cookie для субдоменов.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Чтобы справиться с этим, вам нужно будет получить два сертификата: один для *.domain.com, а другой для domain.com. Вам нужно будет использовать два отдельных IP-адреса, а vhosts два обрабатывают эти домены отдельно.

ответил Dave Cheney 15 J0000006Europe/Moscow 2009, 03:25:49
3

В настоящее время в подпапках будут отображаться * .domain.com и domain.com в поле альтернативного имени объекта (SAN). Например, посмотрите на SSL-сертификат quora.com подстановочного сертификата

Вы увидите

Тема Альтернативные имена: * .quora.com, quora.com

ответил Yogi 1 FebruaryEurope/MoscowbFri, 01 Feb 2013 00:41:27 +0400000000amFri, 01 Feb 2013 00:41:27 +040013 2013, 00:41:27
2

Вероятно, не тот ответ, который вы ищете, но я на 99% уверен, что нет способа. Перенаправить http://domain.com/ в

ответил Mark 3 J0000006Europe/Moscow 2009, 06:03:34
1

Нет, потому что это совершенно другое пространство имен. перенаправление tld не является опцией ни потому, что SSL является транспортным шифрованием, он должен декодировать ssl до apache, например, даже может видеть, что узел запроса перенаправляет его.

Также как побочная заметка: foo.bar.domain.com также недействителен для сертификата подстановки (firefox из памяти - это единственный, который позволит это.

ответил Brendan 15 J0000006Europe/Moscow 2009, 03:28:33

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132