Назад | Перейти на главную страницу

ssl с подстановочными знаками для поддоменов

Я генерирую свои ssl-ключи через openssl и использую следующие команды:

openssl req -passin pass:3a1b -new -key server.key -out server.csr;
cp server.key server.key.org;
openssl rsa -passin pass:3a1b -in server.key.org -out server.key;
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt;

Также я добавляю свой локальный домен как Common Name установлен в *.localdomain.sweb. но когда пользователь принимает сертификацию для домена www.localdomain.sweb домены another.localdomain.sweb тоже нужно принять.

Как я могу установить все поддомены в качестве действительного сертификата, если пользователь принимает сертификат основного домена.

Ответ прост: НЕ ИСПОЛЬЗУЙТЕ САМОПОДПИСАННЫЕ СЕРТИФИКАТЫ.

Браузер ваших пользователей (совершенно правильно) настаивает на том, чтобы они принимали недействительный (самоподписанный / неизвестный орган) сертификат для каждого домена. Это потому, что в браузере нет возможности узнать что сертификат, который они принимают www.localdomain.sweb также действительно для another.localdomain.sweb (потому что нет действующего центра подписи, подтверждающего сертификат).

Если вы приобретете надлежащий сертификат подписано признанный центр сертификации (или, в качестве альтернативы, создайте свой собственный ЦС и распространите его открытый ключ своим клиентам в качестве признанного центра сертификации) браузер будет доверять ему для всех доменов в подстановочном знаке, потому что он правильно подписан и, следовательно, должным образом авторизован (поскольку, по-видимому, ЦС выполнил некоторую проверку перед выдачей сертификата).