Скажем, я владею доменом, domainname.com и тем, что для настройки нескольких веб-сайтов в качестве поддоменов в этом домене, но эти веб-сайты также используют несколько специальных конечных точек в качестве дополнительных поддоменов, могу ли я поместить их все в 1 сертификат SAN + wildcard SSL и что поставщики могут поддерживать создание указанного сертификата
т.е. я что защищать:
domainname.com
siteXXX.domainname.com (where siteXXX refers to the sub sites token)
www.domainname.com
api.domainname.com
mail.domainname.com
www.siteXXX.domainname.com
api.siteXXX.domainname.com
mail.siteXXX.domainname.com
поэтому я подумал, что мне нужно что-то похожее на
domainname.com
*.domainname.com (covers siteXXX, api, www, mail)
www.*.domainname.com (covers www.siteXXX)
api.*.domainname.com (covers api.siteXXX)
mail.*.domainname.com (covers mail.siteXXX)
доза стандарт даже позволяет это, я не уверен, потому что я могу найти только пример с компонентом подстановочного знака как поддомен самого низкого уровня, а не поддомен среднего уровня.
Даже если вы выдадите сертификат с этими сетями SAN, они не будут проверять эти домены в браузерах или любом приложении, которое следует передовым практикам для PKI (см. этот RFC из IETF, например).
Вы думаете как законный владелец всех доменов, на которые распространяется этот сертификат, но что, если браузер принял сертификат для www.*.com
?
я владею www.zip.com
, но это не должно давать мне возможность выпустить сертификат, который подтвердит www.amazon.com
слишком.
Сертификат Wildcard SSL охватывает только поддомены того имени, на которое он зарегистрирован. А *.domain.com
SSL-сертификат будет охватывать все, что находится под domain.com
, но не в поддоменах в domain.com
. Итак, это не покрыло бы second.first.domain.com
.
Хотя сертификаты с подстановочными знаками не охватывают несколько уровней поддоменов, вы можете добавить его в сертификат как SAN. Для этого узнайте у своей организации, выпустившей сертификат, как это сделать. Большинство допускает это. Вы просто добавляете поддомен с другой звездочкой. Итак, я могу добавить SAN *.first.domain.com
к сертификату, и это покроет мои second.first.domain.com
домен. Он также покрывает все, что находится под ним. И обязательно добавьте сам корневой домен, так как Wildcard Certificate не прикрыть это (я думаю).
Итак, в ответ на ваш вопрос вы можете получить Wildcard Certificate, защищающий
*.domainname.com
С SAN
domainname.com
*.siteXXX.domainname.com
Надеюсь, это поможет!