У нас есть вариант использования, в котором мы хотели бы предоставить сертификат SSL для:
auth.SOME_ID.example.com
Однако будет несколько значений SOME_ID. Подстановочный сертификат SSL для auth.*.example.com разрешено, или подстановочный знак должен быть субдоменом самого высокого уровня?
auth.*.example.com не является допустимым именем в DNS. Подстановочная метка должна быть крайней левой меткой, и их не может быть больше одной.
Будь то различные центры сертификации и браузеры забота что это недопустимое DNS-имя - это совсем другой вопрос (поле DN в сертификате X.509 должно быть путем к каталогу X.500, поэтому все DNS-имена для начала расположены боком), и я думаю, что это уже получил адекватный ответ.
Ты не сможешь это сделать. На практике в DNS-имени сертификата может быть только один подстановочный знак, и он должен находиться в крайнем левом положении.
Некоторые варианты:
auth зарезервированное имя в вашей среде, и вместо этого спроектируйте свою систему для использования SOME_ID.auth.example.com (*.auth.example.com является действительным сертификатом с подстановочным знаком).auth-SOME_ID.example.com. Тогда простой *.example.com подстановочный сертификат покроет вас.auth.SOME_ID.example.com адреса, которые вам нужны.Есть и другие. Например, вы можете стать своим собственным центром сертификации ... хотя это почти наверняка больше проблем, чем того стоит, если вы хотите, чтобы эти сертификаты были публично доверенными. Главное - вам нужно найти другой способ добиться этого. Это потребует некоторых размышлений, но это не невозможно.