Bagaimana cara membuat sertifikat SSL untuk lebih dari satu subdomain?

20

Saya menjalankan server "myserver.net", yang memiliki subdomain "a.myserver.net" dan "b.myserver.net".

Saat membuat sertifikat SSL (ditandatangani sendiri), saya harus membuat satu untuk setiap subdomain, yang mengandung FQDN, meskipun subdomain tersebut hanyalah vhosts.

OpenSSL hanya mengizinkan satu "nama umum", yang merupakan domain yang dipermasalahkan. Apakah ada kemungkinan untuk membuat sertifikat yang valid untuk semua subdomain dari suatu domain?

polemon
sumber

Jawaban:

27

Ya, gunakan * .myserver.net sebagai nama umum.

Ini disebut sertifikat wildcard dan ada sejumlah besar temuan howtos dengan kata kunci ini.

Berikut adalah salah satunya: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-sign-wildcard-ssl- sertifikat

Pembaruan: jika Anda ingin sertifikat untuk mencocokkan root domain juga (myserver.net), maka Anda harus menggunakan ekstensi Nama Alternatif Subjek. Saat membuat sertifikat menggunakan openssh, masukkan '* .myserver.net / CN = myserver.net' sebagai Nama Umum.

Kompatibel cukup baik , kecuali jika Anda memiliki browser kuno.

rvs
sumber
Oke, tetapi apakah sertifikat juga berlaku untuk root-domain ("myserver.net"), atau hanya untuk semua subdomain?
polemon
1
Tidak, tetapi Anda dapat menambahkan Nama Alternatif Subjek: gunakan '* .myserver.net / CN = myserver.net' sebagai common.name. Lihat di sini: artins.org/ben/… dan di sini: digicert.com/subject-alternative-name-compatibility.htm
rvs
Tautannya sudah mati. Bisakah Anda memperbaruinya?
allprog
1

Sama seperti FYI, ada jenis sertifikat lain yang juga disebut Sertifikat Komunikasi Terpadu. Wildcard hanya dapat dikeluarkan untuk *.domain.comtetapi sertifikat UCC memungkinkan Anda untuk mendaftar hingga 100 Nama Domain Sepenuhnya Berkualitas (FQDN) di bawah domain apa pun. Alasan utama untuk mendapatkan salah satunya adalah bahwa Microsoft tidak terlalu tertarik pada wildcard untuk hal-hal seperti pengontrol MS Domain, Exchange, dll.

https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

Unified Communications Certificate (UCC) adalah sertifikat SSL yang mengamankan beberapa nama domain dan beberapa nama host dalam nama domain. UCC memungkinkan Anda mengamankan nama domain utama dan hingga 99 tambahan Nama Alternatif Alternatif (SAN) dalam satu sertifikat. UCC ideal untuk Microsoft® Exchange Server 2007, Exchange Server 2010, dan Microsoft Live® Communications Server.

UCC kompatibel dengan hosting bersama. Namun, segel situs dan sertifikat "Diterbitkan untuk" informasi hanya akan mencantumkan nama domain utama. Harap perhatikan bahwa akun hosting sekunder apa pun akan dicantumkan dalam sertifikat juga, jadi jika Anda tidak ingin situs tampak 'terhubung' satu sama lain, Anda sebaiknya tidak menggunakan jenis sertifikat ini.

Kelemahan utama UCC adalah Anda harus mendaftar semua domain Anda di muka (wildcard tidak memerlukan ini). Jika daftar pernah berubah, Anda harus mendapatkan sertifikat baru. Secara kebetulan, Namecheap (hanya satu yang saya tahu yang melakukan ini) menawarkan UCC Validasi Diperpanjang (Anda membayar per domain, yang berarti sertifikat domain 100 SANGAT mahal), yang merupakan satu-satunya cara untuk memiliki sertifikat EV untuk lebih dari satu domain , karena tidak ada yang menawarkan EV Wildcard.

Machavity
sumber
-1

Itu pertanyaan yang valid. Sayangnya dari apa yang saya pahami protokol tidak pernah dimaksudkan pemilik domain untuk dapat menandatangani sertifikat hanya untuk subdomain.

Anda adalah CA untuk apa pun atau tidak sama sekali. Tidak ada batasan dalam ruang lingkup begitu Anda seorang CA.

Bodoh tapi begitulah adanya. Beli saja sertifikat terpisah untuk setiap domain tunggal yang Anda miliki $$$, itu benar setiap domain, jadi jangan repot-repot mencoba mengamankan perangkat tersemat yang Anda jual.

Adam Anderson
sumber
2
Tidak, ini salah. Pertama, lihat jawaban lain di sini, kedua, baca tentang apa sebenarnya otoritas sertifikat. Saya memiliki CA untuk domain internal saya saja. Ada banyak batasan ruang lingkup untuk CA.
HopelessN00b