¿Tengo que comprar un segundo certificado comodín para un subdominio?

8

Ya tenemos un certificado comodín para *.mycompany.com. Nuestra red tiene hosts a los que solo se puede acceder internamente. Todos ellos pertenecen al internal.mycompany.comsubdominio. Hay un servidor privado con el nombre de host server.internal.mycompany.comen el que implementé nuestro certificado comodín.

Cuando visito el servidor web, aparece un error de falta de coincidencia del nombre de host. ¿Realmente tengo que obtener otro certificado comodín *.internal.mycompany.como hay otra forma (¡gratis !?) de usar nuestro certificado comodín para todos nuestros subdominios y sus subdominios sin obtener un error en el navegador?

security ssl-certificate subdomain domain Rafael Bugajewski
fuente
2
La mejor manera de obtener esta respuesta es llamar a su proveedor de SSL y preguntarle si hay alguna solución para esto, esto es lo que haría si tengo algún problema con algo y tengo alguna cuenta paga con el proveedor. Aunque hasta donde yo sé, no es posible usar comodines emitidos para su doamin principal para subdominio, debe crear un nuevo certificado. .
Pratap
2
Puede implementar un certificado raíz autofirmado gratuito para fines internos.
JamesRyan
@JamesRyan: Eche un vistazo a mi comentario para obtener la respuesta aceptada y por qué no creo que los certificados autofirmados sean una solución.
Rafael Bugajewski
Acabo de recibir una respuesta de Comodo: “Si necesita instalar en un servidor diferente para uno de sus subdominios, debe generar la CSR nuevamente desde su servidor y contactar ... para reemplazar la CSR y volver a emitir su certificado. Una vez que obtenga el nuevo certificado, intente instalar ese nuevo certificado para internal.mycompany.com y volver a emitir el certificado no afectará las instalaciones anteriores ".
Rafael Bugajewski

Respuestas:

15

Sí, tendrá que comprar otro certificado *

El carácter comodín de asterisco *solo coincidirá con 1 etiqueta en un FQDN resuelto.

Este comportamiento refleja RFC 4592 Sección 3.3 , en su descripción de la coincidencia de etiqueta DNS y el respaldo a la etiqueta de asterisco.

Si solo necesita asegurar un único punto final bajo el .internal.mycompany.com.espacio de nombres, no necesita un certificado comodín, simplemente compre un certificado regular de un solo sujeto.

*) Los requisitos básicos de CA / Browser Forum para la emisión de certificados públicos sí permiten nombres comodín en la extensión SAN de un certificado, por lo que técnicamente, un solo certificado comodín podría ser válido para la coincidencia de comodines en múltiples subdominios, pero nunca he visto este tipo del producto anunciado en el mercado en cualquier lugar, y supongo que es demasiado costoso

Mathias R. Jessen
fuente
Cuando ejecuto mi propia CA, tendría que asegurarme de que todos los certificados se implementen en todos los clientes, ya que mi objetivo es hacer que la experiencia del usuario sea lo más sencilla posible. Cuando compro un certificado de una CA ya confiable solo tengo que asegurarme de implementar todo en los servidores. Sin embargo, un par de cientos de dólares es mucho dinero para uso interno solo durante cinco años. ¿Me estoy perdiendo de algo?
Rafael Bugajewski
2
Bueno, en ese sentido, un par de cientos de dólares durante cinco años para aliviar el dolor de cabeza son cacahuetes :-)
Mathias R. Jessen
3
Si tiene un directorio activo, puede enviar un certificado raíz autofirmado a los usuarios internos del dominio automáticamente, entonces el proceso es transparente para los usuarios.
JamesRyan
@JamesRyan: No tenemos ningún servidor de Windows en nuestro entorno, pero ese es un punto interesante. Al final mordí la bala, saqué la tarjeta de crédito y acabo de comprar otro certificado para * .internal.mycompany.com y ahora todo funciona según lo previsto. gracias por su ayuda chicos.
Rafael Bugajewski
3

De acuerdo con los protocolos de seguridad del Certificado SSL WildCard , solo permite la protección del dominio de primer nivel, que también incluye su dominio principal, como domainname.com y domain.domainname.com . Permite seguridad ilimitada de subdominios, pero deben ser dominios de primer nivel .

Si desea proteger su nombre de subdominio que se formatea en domain.domain.domainname.com cuyo nombre técnico se conoce como subdominio de segundo nivel, entonces debe tener otro certificado SSL comodín específicamente para la seguridad de ese subdominio.

Jake Adley
fuente
1

El certificado SSL comodín solo puede proteger subdominios de un solo nivel. Si tiene un comodín SSL emitido para * .mycompany.com, asegurará mycompany.com y todos sus subdominios.

Si su requisito es asegurar subdominios de segundo nivel, debe crear CSR para * .internal.mycompany.com (con esta condición, mycompany.com recibirá una advertencia de falta de coincidencia de nombre de dominio en los navegadores, por lo que debe comprar un SSL estándar certificado para mycompany.com)

Es posible que asegure todo su sitio web con un solo certificado de dominio múltiple. Con el certificado SSL multidominio, puede proteger múltiples sitios web, subdominios y subdominios de niveles múltiples.

  • mycompany.com
  • mycompany.co.uk
  • internal.mycompany.com
  • * .mycomapany.com
  • server.internal.mycompany.com . .anycompany.anytld

El certificado SSL multidominio también conocido como certificado SSL SAN y cuenta cada condición como un nombre SAN individual.

Debe evaluar cuántos subdominios se crean en mycomapny.com y * .internal.mycompany.com, lo que ayudará a elegir el producto de certificado correcto.

Aquí en el escenario detallado ya explicado: certificado SSL comodín para subdominio de segundo nivel

Jason Parms
fuente