Dapatkah saya menggunakan sertifikasi wildcard yang sama untuk * .domain.com dan domain.com

13

Anda dapat membuat sertifikat SSL dengan menggunakan * .domain.com sebagai namanya.

Namun sayangnya, ini tidak mencakup https://domain.com

Apakah ada perbaikan untuk ini?

Tidak dikenal
sumber

Jawaban:

11

Sepertinya saya ingat bahwa * .domain.com sebenarnya melanggar RFC (saya pikir hanya lynx yang mengeluh :)

Buat sertifikat dengan domain.com sebagai CN dan * .domain.com di subjectAltName:dNSNamebidang nama - yang berfungsi.

Untuk openssl, tambahkan ini ke ekstensi:

subjectAltName          = DNS:*.domain.com
MikeyB
sumber
Awww, saya baru mencobanya dan tidak berhasil, setidaknya di firefox.
Tidak diketahui
Detail: Pastikan * .domain.com ada di subjectAltName: bidang dNSName
MikeyB
@ Supermathie bagaimana cara melakukannya di baris perintah?
Tidak diketahui
Anda tidak dapat melakukannya secara langsung pada baris perintah, tetapi Anda dapat menggunakan -extfile dan -extensions.
MikeyB
+1 ... ini adalah bagaimana kami menangani sertifikat wildcard kami. Saya tidak bisa memuji bagaimana melakukan ini dengan openssl.
Doug Luxem
7

Sayangnya Anda tidak dapat melakukan ini. Aturan untuk menangani wildcard pada subdomain mirip dengan aturan tentang cookie untuk subdomain.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Untuk menangani ini, Anda harus mendapatkan dua sertifikat, satu untuk *.domain.comdan yang lainnya untuk domain.com. Anda perlu menggunakan dua alamat IP terpisah dan vhosts dua menangani domain ini secara terpisah.

Dave Cheney
sumber
2
Anda benar-benar dapat melakukan ini - ini dilakukan sepanjang waktu - lihat jawaban di atas. Ini dilakukan dengan menggunakan CN dan ekstensi nama subjek alternatif. techbrahmana.blogspot.com/2013/10/…
John Kloian
4

Wildcard hari ini akan memiliki * .domain.com dan domain.com di bidang nama alternatif subjek (SAN). Sebagai contoh, lihat wildcard SSL cert quora.com

Kamu akan lihat

Nama Alternatif Subjek: * .quora.com, quora.com

Yogi
sumber
Hanya mengkonfirmasi ini pada salah satu sertifikat wildcard saya sendiri (dari Comodo) - non-www bekerja dengan baik.
ceejayoz
2

Mungkin bukan jawaban yang Anda cari, tapi saya 99% yakin tidak ada jalan. Redirect http://domain.com/ ke https://www.domain.com/ dan cukup gunakan * .domain.com sebagai sertifikat SSL. Ini jauh dari sempurna, tetapi semoga mencakup sebagian besar kasus yang Anda minati. Satu-satunya alternatif lain adalah menggunakan alamat IP yang berbeda untuk domain.com dan www.domain.com. Kemudian Anda dapat menggunakan sertifikat berbeda untuk setiap IP.

Menandai
sumber
Anda benar. "domain.com" adalah subdomian dari ".com", jadi wildcard yang berfungsi adalah "* .com". Inilah sebabnya mengapa sertifikat untuk * .domain.com berfungsi untuk "www.domain.com" tetapi tidak, "www.acct.domain.com".
sysadmin1138
1

Tidak karena mereka ruang nama yang sama sekali berbeda. redirect tld juga bukan pilihan karena SSL adalah enkripsi transport yang harus didekodekan ssl sebelum apache misalnya bahkan dapat melihat host permintaan untuk mengalihkannya.

Juga sebagai catatan tambahan: foo.bar.domain.com juga tidak berlaku untuk sertifikat wildcard (firefox dari memori adalah satu-satunya yang akan mengizinkannya.

Brendan
sumber