У нас уже есть подстановочный сертификат для *.mycompany.com. В нашей сети есть хосты, которые доступны только изнутри. Все они принадлежат к internal.mycompany.com поддомен. Есть частный сервер с именем хоста server.internal.mycompany.com на котором я развернул наш групповой сертификат.
Когда я посещаю веб-сервер, я получаю сообщение об ошибке несоответствия имени хоста. Мне действительно нужно получить еще один шаблонный сертификат для *.internal.mycompany.com или есть другой (бесплатный !?) способ использовать наш групповой сертификат для всех наших субдоменов и их субдоменов без появления ошибки в браузере?
Подстановочный знак звездочки * будет соответствовать только 1 метке в разрешенном полном доменном имени.
Это поведение отражает RFC 4592, раздел 3.3в описании сопоставления метки DNS и возврата к метке звездочки.
Если вам нужно защитить только одну конечную точку под .internal.mycompany.com. namespace, вам не нужен подстановочный сертификат, просто купите обычный однопользовательский сертификат.
*) Базовые требования CA / Browser Forum для выдачи общедоступных сертификатов позволяет имена с подстановочными знаками в расширении SAN сертификата, поэтому технически один сертификат с подстановочными знаками может быть действителен для сопоставления с подстановочными знаками на нескольких поддоменах, но у меня есть никогда где-нибудь видел этот тип продукта, рекламируемый в готовом виде, и я бы предположил, что это явно дорого
В соответствии с SSL-сертификат WildCard протоколы безопасности, он позволяет защищать только домен первого уровня, который также включает ваш основной домен, такой как domainname.com и domain.domainname.com. Это позволяет неограниченную безопасность поддоменов, но они должны быть домены первого уровня.
Если вы хотите защитить свое субдоменное имя, формат которого domain.domain.domainname.com который технический известен как имя субдомена второго уровня, тогда у вас должен быть другой сертификат SSL с подстановочными знаками специально для безопасности этого субдомена.
SSL-сертификат Wildcard может защитить только одноуровневые поддомены. Если у вас есть SSL с подстановочными знаками, выданный для * .mycompany.com, он будет защищать mycompany.com и все его поддомены.
Если ваше требование - защита поддоменов второго уровня, вам следует создать CSR для * .internal.mycompany.com (при этом условии mycompany.com получит предупреждение о несоответствии доменного имени в браузерах, поэтому вам необходимо приобрести стандартный SSL сертификат для mycompany.com)
Возможно, вы защитите весь ваш сайт с помощью одного многодоменного сертификата. С помощью сертификата Multi Domain SSL вы можете защитить несколько веб-сайтов, поддоменов и многоуровневых поддоменов.
Многодоменный сертификат SSL, также известный как сертификат SAN SSL, учитывает каждое условие как отдельное имя SAN.
Вы должны оценить, сколько поддоменов создано под mycomapny.com и * .internal.mycompany.com, что поможет выбрать правильный продукт сертификата.
Здесь в уже объясненном подробном сценарии - SSL-сертификат подстановочного знака для поддомена второго уровня