Я поискал в Интернете четкий и краткий ответ на свой вопрос об SSL, но безрезультатно. Итак, вот и:
У меня есть веб-сервис, требующий поддержки SSL для страниц аутентификации. Домен корневого уровня не имеет www, то есть secure: //domain.com, но локализованные страницы используют language-code.domain.com, то есть secure: //ja.domain.com
Поэтому мне нужен как минимум SSL-сертификат с подстановочным знаком, который поддерживает secure: //*.domain.com
Однако у нас также есть общедоступная среда песочницы на sandbox.domain.com, которую нам также необходимо поддерживать в локализованных доменах - поэтому secure: //ja.sandbox.domain.com также должен работать.
Предыдущему администратору удалось приобрести подстановочный SSL-сертификат для .domain.com, но с альтернативным именем субъекта для "domain.com". Итак, я думаю о попытке получить групповой сертификат с SAN, определенным как «domain.com» и «. *. domain.com ".
Но теперь я запутался, потому что, похоже, существуют отдельные сертификаты SAN, также называемые сертификатами UCC.
Может ли кто-нибудь уточнить, можно ли получить сертификат с подстановочными знаками с дополнительными полями SAN и, в конечном итоге, как лучше всего поддержать:
secure: //domain.com secure: //.domain.com безопасный: //. *. domain.com
с наименьшим (и самым дешевым!) количеством SSL-сертификатов?
Спасибо!
Во-первых, сертификат SAN = сертификаты UCC. Они оба являются просто сертификатами с полем SubjectAltName.
Во-вторых, подстановочный знак ..domain.com не будет работать в большинстве браузеров. Вам нужно будет либо получить два сертификата с подстановочными знаками (один для * .sandbox.domain.com и один для * .domain.com), либо получить сертификат с подстановочными знаками для * .domain.com и попросить вашего поставщика SSL указать конкретное имя SubjectAltName ja .sandbox.domain.com. Я думаю, что DigiCert и GlobalSign предлагают это.
В соответствии с http://ssl.com Определенно технически возможно объединить UCC и групповые сертификаты. По сути, они рекомендуют использовать сертификат UCC с одним альтернативным именем субъекта, содержащим ваш подстановочный знак: * .domain.com - они отмечают, что вам нужно будет доплатить, чтобы иметь подстановочные знаки в UCC.
Чтобы охватить неограниченное количество поддоменов, просто создайте домены с подстановочными знаками (например, * .sitename.com) в поле общего имени или как SAN (альтернативное имя субъекта) при покупке UCC ... Вы даже можете поместить другие подстановочные знаки в поля SAN например * .sub1.sitename.com
Просто создайте домены с подстановочными знаками (например, * .sitename.com) в поле общего имени и / или как SANS (альтернативные имена субъектов), когда вы покупаете UCC (или создаете его). Большинство центров сертификации будут взимать плату за каждый домен с подстановочными знаками как за стандартный сертификат с подстановочными знаками.
Comodo, например, при покупке сертификата UCC отмечает, что:
Домены с подстановочными знаками могут быть добавлены в UCC за дополнительную плату в размере 399,00 долларов США за домен.
Давайте зашифровать
Следуя за http://LetsEncrypt.com доски обсуждений кажется, что эта возможность также может быть включена, когда она будет доступна позже в 2015 году
Главное помнить:
Таким образом, это зависит от множества факторов, но один UCC, включающий все ваши доменные имена (включая подстановочные знаки), может быть лучшим решением / более простым в управлении, чем множество различных сертификатов.
(Кроме того, просто к сведению - похоже, Let's Encrypt - это не настроен для обработки подстановочных знаков в настоящий момент.)