Назад | Перейти на главную страницу

Могу ли я использовать одну и ту же подстановочную сертификацию для * .domain.com и domain.com

Вы можете создать сертификат SSL, используя в качестве имени * .domain.com.

Но, к сожалению, это не касается https://domain.com

Есть ли что-нибудь исправить?

Кажется, я припоминаю, что * .domain.com на самом деле нарушает RFC (хотя, думаю, жалуется только lynx :)

Создайте сертификат с доменом.com в качестве CN и * .domain.com в subjectAltName:dNSName поле имен - это работает.

Для openssl добавьте это в расширения:

subjectAltName          = DNS:*.domain.com

К сожалению, вы не можете этого сделать. Правила обработки подстановочных знаков для поддоменов аналогичны правилам для файлов cookie для поддоменов.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Чтобы справиться с этим, вам необходимо получить два сертификата, один для *.domain.com а другой для domain.com. Вам нужно будет использовать два отдельных IP-адреса, и два vhosts будут обрабатывать эти домены отдельно.

В наши дни подстановочные знаки будут иметь * .domain.com и domain.com в поле альтернативного имени субъекта (SAN). Например, взгляните на сертификат SSL с подстановочными знаками quora.com

Ты увидишь

Альтернативные имена субъектов: * .quora.com, quora.com

Возможно, это не тот ответ, который вы ищете, но я на 99% уверен, что выхода нет. Перенаправить http://domain.com/ к https://www.domain.com/ и просто используйте * .domain.com в качестве сертификата SSL. Он далек от совершенства, но, надеюсь, должен охватывать большинство интересующих вас случаев. Единственная альтернатива - использовать разные IP-адреса для domain.com и www.domain.com. Затем вы можете использовать разные сертификаты для каждого IP.

Нет, потому что это совершенно другое пространство имен. перенаправление tld также не является вариантом, потому что SSL - это транспортное шифрование, оно должно декодировать ssl, прежде чем, например, apache сможет даже увидеть хост запроса для его перенаправления.

Также в качестве побочного примечания: foo.bar.domain.com также недействителен для сертификата с подстановочными знаками (firefox из памяти - единственный, который позволяет это.