Apakah saya harus membeli sertifikat wildcard kedua untuk subdomain?

8

Kami sudah memiliki sertifikat wildcard untuk *.mycompany.com. Jaringan kami memiliki host yang hanya dapat dijangkau secara internal. Semuanya milik internal.mycompany.comsubdomain. Ada server pribadi dengan nama host server.internal.mycompany.comtempat saya menyebarkan sertifikat wildcard kami.

Ketika saya mengunjungi server web saya mendapatkan kesalahan ketidakcocokan nama host. Apakah saya benar-benar harus mendapatkan sertifikat wildcard lain *.internal.mycompany.comatau ada cara (gratis !?) lain untuk menggunakan sertifikat wildcard kami untuk semua subdomain dan subdomain kami tanpa mendapatkan kesalahan di browser?

security ssl-certificate subdomain domain Rafael Bugajewski
sumber
2
Cara terbaik untuk mendapatkan jawaban ini adalah menghubungi penyedia ssl Anda dan tanyakan apakah ada solusi untuk ini, ini yang akan saya lakukan jika saya memiliki masalah dengan sesuatu dan saya memiliki beberapa akun berbayar dengan penyedia. Meskipun sejauh yang saya tahu tidak mungkin untuk menggunakan kartu liar yang dikeluarkan untuk doamin utama Anda untuk sub-domain, Anda perlu membuat sertifikat baru. .
Pratap
2
Anda dapat menggunakan sertifikat root yang ditandatangani sendiri secara gratis untuk keperluan internal.
JamesRyan
@JamesRyan: Silakan lihat komentar saya untuk jawaban yang diterima dan mengapa saya tidak berpikir bahwa sertifikat yang ditandatangani sendiri adalah solusi.
Rafael Bugajewski
Saya baru saja mendapat tanggapan dari Comodo: "Jika Anda perlu menginstal di server yang berbeda untuk salah satu subdomain Anda, Anda perlu membuat CSR lagi dari server Anda dan menghubungi ... untuk mengganti CSR dan mendapatkan sertifikat Anda diterbitkan kembali. Setelah Anda mendapatkan sertifikat baru, cobalah untuk menginstal sertifikat baru itu untuk internal.mycompany.com dan menerbitkan kembali sertifikat itu tidak akan mempengaruhi instalasi sebelumnya. "
Rafael Bugajewski

Jawaban:

15

Ya, Anda harus membeli sertifikat lain *

Karakter wildcard asterisk *hanya akan cocok dengan 1 label dalam FQDN yang diselesaikan.

Perilaku ini mencerminkan RFC 4592 Bagian 3.3 , dalam uraiannya tentang pencocokan label DNS dan mundur ke label asterisk.

Jika Anda hanya perlu mengamankan satu titik akhir di bawah .internal.mycompany.com.namespace, Anda tidak memerlukan sertifikat wildcard, cukup beli sertifikat subjek tunggal biasa.

*) Persyaratan dasar CA / Browser Forum untuk penerbitan sertifikat publik memang mengizinkan nama wildcard dalam ekstensi SAN sertifikat, jadi secara teknis, sertifikat wildcard tunggal dapat valid untuk pencocokan wildcard pada beberapa subdomain, tapi saya belum pernah melihat jenis ini produk yang diiklankan di rak mana pun, dan saya akan menganggapnya terlalu mahal

Mathias R. Jessen
sumber
Ketika saya menjalankan CA saya sendiri, saya harus memastikan bahwa semua sertifikat digunakan pada semua klien karena target saya adalah membuat pengalaman pengguna semudah mungkin. Ketika saya membeli sertifikat dari CA yang sudah tepercaya, saya hanya perlu memastikan untuk menyebarkan semuanya di server. Beberapa ratus dolar adalah banyak uang untuk penggunaan internal hanya selama lima tahun. Apakah saya melewatkan sesuatu?
Rafael Bugajewski
2
Nah, dalam cahaya itu, beberapa ratus dolar selama lima tahun untuk mengurangi sakit kepala Anda adalah kacang :-)
Mathias R. Jessen
3
Jika Anda memiliki direktori aktif, Anda dapat mendorong sertifikat root yang ditandatangani sendiri untuk pengguna internal pada domain secara otomatis maka proses transparan bagi pengguna.
JamesRyan
@JamesRyan: Kami tidak memiliki server Windows di lingkungan kami, tapi itu poin yang menarik. Pada akhirnya saya menggigit peluru, mengeluarkan kartu kredit dan baru saja membeli sertifikat lain untuk * .internal.mycompany.com dan sekarang semuanya berfungsi sebagaimana mestinya. Terima kasih atas bantuan kalian, teman-teman.
Rafael Bugajewski
3

Menurut protokol keamanan Sertifikat SSL WildCard , hanya memungkinkan perlindungan domain tingkat pertama yang juga mencakup domain utama Anda seperti domainname.com dan domain.domainname.com . Ini memungkinkan keamanan sub domain tak terbatas tetapi mereka harus domain tingkat pertama .

Jika Anda ingin melindungi nama sub domain Anda yang berformat dalam domain.domain.domainname.com yang secara teknis dikenal sebagai nama domain sub tingkat kedua, maka Anda harus memiliki sertifikat SSL wildcard lain untuk keamanan sub nama domain tersebut.

Jake Adley
sumber
1

Sertifikat Wildcard SSL hanya dapat mengamankan subdomain satu tingkat. Jika Anda memiliki wildcard SSL yang dikeluarkan untuk * .mycompany.com, maka itu akan mengamankan mycompany.com dan semua sub domainnya.

Jika kebutuhan Anda mengamankan sub domain tingkat kedua, maka Anda harus membuat CSR untuk * .internal.mycompany.com (dengan kondisi ini, mycompany.com akan mendapatkan peringatan ketidakcocokan nama domain di browser, sehingga Anda perlu membeli SSL standar sertifikat untuk mycompany.com)

Ada kemungkinan bahwa mengamankan seluruh situs web Anda dengan sertifikat multi-domain tunggal. Dengan sertifikat Multi Domain SSL, Anda dapat mengamankan beberapa situs web, sub domain, dan sub domain multi-level.

  • mycompany.com
  • mycompany.co.uk
  • internal.mycompany.com
  • * .mycomapany.com
  • server.internal.mycompany.com . .anycompany.anytld

Sertifikat SSL Multi Domain juga dikenal sebagai sertifikat SAN SSL dan menghitung setiap kondisi sebagai nama SAN individu.

Anda harus mengevaluasi bahwa berapa banyak sub domain yang dibuat di bawah mycomapny.com dan * .internal.mycompany.com yang akan membantu memilih produk sertifikat yang tepat.

Di sini, di skenario detail sudah dijelaskan - Wildcard sertifikat SSL untuk subdomain tingkat kedua

Jason Parms
sumber