¿Puedo usar la misma certificación comodín para * .domain.com y domain.com

Respuestas:

11

Parece recordar que * .domain.com en realidad viola RFC de todos modos (creo que solo Lynx se queja :)

Cree un certificado con domain.com como CN y * .domain.com en el subjectAltName:dNSNamecampo de nombres, eso funciona.

Para openssl, agregue esto a las extensiones:

subjectAltName          = DNS:*.domain.com
MikeyB
fuente
Awww, acabo de probarlo y no funciona, al menos en Firefox.
Desconocido
Un detalle: Asegúrese de que * .dominio.com esté en el campo subjectAltName: dNSName
MikeyB
@ Supermathie, ¿cómo hago eso en la línea de comando?
Desconocido
No puede hacerlo directamente en la línea de comando, pero puede usar -extfile y -extensions.
MikeyB
+1 ... así es como manejamos nuestros certificados comodín. Sin embargo, no puedo recomendar cómo hacer esto con openssl.
Doug Luxem
7

Lamentablemente no puedes hacer esto. Las reglas para manejar comodines en subdominios son similares a las reglas sobre cookies para subdominios.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Para manejar esto, deberá obtener dos certificados, uno para *.domain.comy el otro para domain.com. Necesitará usar dos direcciones IP separadas y dos vhosts manejan estos dominios por separado.

Dave Cheney
fuente
2
Puede hacer esto absolutamente, está hecho todo el tiempo, vea la respuesta anterior. Esto se logra utilizando el CN ​​y la extensión de nombre alternativo del sujeto. techbrahmana.blogspot.com/2013/10/…
John Kloian
4

Los comodines en estos días tendrán * .dominio.com y dominio.com en el campo de nombre alternativo del sujeto (SAN). Por ejemplo, eche un vistazo al certificado SSL comodín de quora.com

Ya verás

Nombres alternativos del sujeto: * .quora.com, quora.com

Yogui
fuente
Acabo de confirmar esto en uno de mis propios certificados comodín (de Comodo): no www funcionó bien.
ceejayoz
2

Probablemente no sea la respuesta que estás buscando, pero estoy 99% seguro de que no hay forma. Redirija http://domain.com/ a https://www.domain.com/ y simplemente use * .domain.com como el certificado SSL. Está lejos de ser perfecto, pero es de esperar que cubra la mayoría de los casos que le interesen. La única otra alternativa es utilizar diferentes direcciones IP para domain.com y www.domain.com. Luego puede usar diferentes certificados para cada IP.

marca
fuente
Estás en lo correcto. "domain.com" es un subdomian de ".com", por lo que el comodín que funcionaría sería "* .com". Es por eso que un certificado para * .dominio.com funciona para "www.dominio.com" pero no para "www.acct.domain.com".
sysadmin1138
1

No porque son espacios de nombres completamente diferentes. redireccionar el tld tampoco es una opción porque SSL es un cifrado de transporte que tiene que decodificar el ssl antes de que apache, por ejemplo, pueda ver el host de solicitud para redirigirlo.

También como nota al margen: foo.bar.domain.com tampoco es válido para un certificado comodín (firefox de memoria es el único que lo permitirá.

Brendan
fuente