Я использую сервер «myserver.net» с поддоменами «a.myserver.net» и «b.myserver.net».
При создании (самозаверяющих) SSL-сертификатов я должен создать по одному для каждого поддомена, содержащего полное доменное имя, даже если эти поддомены являются просто vhosts.
OpenSSL допускает только одно «общее имя», которым является рассматриваемый домен. Есть ли возможность создать сертификат, действительный для всех поддоменов домена?
Да, используйте * .myserver.net в качестве обычного имени.
Это называется сертификатами с подстановочными знаками, и с помощью этого ключевого слова можно найти большое количество инструкций.
Вот один из них: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl-certificate
Обновление: если вы хотите, чтобы сертификат соответствовал корневому домену (myserver.net), вам следует использовать расширение альтернативного имени субъекта. При создании сертификата с использованием openssh введите «* .myserver.net / CN = myserver.net» в качестве общего имени.
Совместимо достаточно хорошо, если у вас нет старого браузера.
Как и FYI, существует еще один вид сертификата, также называемый сертификатом унифицированных коммуникаций. Подстановочный знак может быть выдан только для *.domain.com но сертификат UCC позволяет вам перечислить до 100 полных доменных имен (FQDN) в любом домене. Основная причина получить один из них заключается в том, что Microsoft не слишком увлечена подстановочными знаками для таких вещей, как контроллеры домена MS, Exchange и т. Д.
https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908
Сертификат унифицированных коммуникаций (UCC) - это сертификат SSL, который защищает несколько доменных имен и несколько имен хостов в пределах одного доменного имени. UCC позволяет защитить основное доменное имя и до 99 дополнительных альтернативных имен субъектов (SAN) в одном сертификате. UCC идеально подходят для Microsoft® Exchange Server 2007, Exchange Server 2010 и Microsoft Live® Communications Server.
UCC совместимы с виртуальным хостингом. Однако в информации о печати сайта и сертификате «Кому выдан» будет указано только основное доменное имя. Обратите внимание, что любые учетные записи вторичного хостинга также будут указаны в сертификате, поэтому, если вы не хотите, чтобы сайты казались «связанными» друг с другом, вам не следует использовать этот тип сертификата.
Основным недостатком UCC является то, что вам нужно указать все свои домены заранее (подстановочные знаки этого не требуют). Если список когда-либо изменится, вам нужно будет получить новый сертификат. Между прочим, Namecheap (только один из известных мне таких есть) предлагает UCC с расширенной проверкой(вы платите за домен, что означает, что сертификат домена 100 - это ОЧЕНЬ дорого), что является единственным способом получить сертификат EV для более чем одного домена, поскольку никто не предлагает подстановочные знаки EV.
Это правильный вопрос. К сожалению, насколько я понимаю, протоколы никогда не предполагали, что владелец домена сможет подписывать сертификаты только для поддоменов.
Вы либо ЦС ни для чего, либо ничего. Если вы являетесь центром сертификации, ограничений по объему нет.
Глупо, но так оно и есть. Просто купите отдельный сертификат для каждого домена, которым вы владеете, $$$, правильно для каждого, так что не пытайтесь защитить встроенные устройства, которые вы продаете.