* .domain.com 및 domain.com에 동일한 와일드 카드 인증을 사용할 수 있습니까?


답변:


11

어쨌든 * .domain.com이 실제로 RFC를 위반한다는 것을 기억합니다 (lynx만이 불평한다고 생각합니다 :)

domain.com을 CN으로 사용하고 subjectAltName:dNSName이름 필드 에 * .domain.com을 사용하여 인증서를 작성하십시오 . 작동합니다.

openssl의 경우 확장에 다음을 추가하십시오.

subjectAltName          = DNS:*.domain.com

Awww, 방금 시도했지만 적어도 firefox에서는 작동하지 않습니다.
알 수없는

세부 사항 : * .domain.com이 subjectAltName : dNSName 필드에 있는지 확인하십시오
MikeyB 2016 년

@Supermathie 명령 줄에서 어떻게합니까?
알 수없는

명령 행에서 직접 수행 할 수는 없지만 -extfile 및 -extensions를 사용할 수 있습니다.
MikeyB

+1 ... 이것은 와일드 카드 인증서를 처리하는 방법입니다. openssl 로이 작업을 수행하는 방법에 대해서는 칭찬 할 수 없습니다.
Doug Luxem

7

불행히도 당신은 이것을 할 수 없습니다. 하위 도메인에서 와일드 카드를 처리하는 규칙은 하위 도메인 쿠키에 대한 규칙과 유사합니다.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

이 문제를 처리하려면에 대한 인증서 *.domain.com와에 대한 인증서 두 개를 얻어야 합니다 domain.com. 두 개의 개별 IP 주소를 사용해야하고 두 개의 호스트가이 도메인을 개별적으로 처리해야합니다.


2
당신은 절대적으로 이것을 할 수 있습니다-항상 끝났습니다-위의 답변을보십시오. 이것은 CN과 주제 대체 이름 확장자를 사용하여 수행됩니다. techbrahmana.blogspot.com/2013/10/…
John Kloian

4

요즘 와일드 카드의 경우 주제 대체 이름 필드 (SAN)에 * .domain.com 및 domain.com이 있습니다. 예를 들어 quora.com의 와일드 카드 SSL 인증서를 살펴보십시오.

당신은 볼 것이다

주체 대체 이름 : * .quora.com, quora.com


내 자신의 와일드 카드 인증서 (Comodo의) 중 하나에서 이것을 확인했습니다-www가 아닌 ​​것이 잘 작동했습니다.
ceejayoz

2

아마 당신이 찾고있는 대답은 아니지만 99 %가 방법이 없다고 확신합니다. http://domain.com/https://www.domain.com/으로 리디렉션 하고 * .domain.com을 SSL 인증서로 사용하십시오. 완벽하지는 않지만 관심있는 대부분의 경우를 커버해야합니다. 다른 대안은 domain.com과 www.domain.com에 다른 IP 주소를 사용하는 것입니다. 그런 다음 각 IP마다 다른 인증서를 사용할 수 있습니다.


당신이 올바른지. "domain.com"은 ".com"의 하위 단위이므로 "* .com"이 작동합니다. 이것이 * .domain.com의 인증서가 "www.domain.com"에는 작동하지만 "www.acct.domain.com"에는 작동하지 않는 이유입니다.
sysadmin1138

1

이름 공간이 완전히 다르기 때문에 아니요. SSL이 전송 암호화이기 때문에 tld를 리디렉션하는 것은 옵션이 아닙니다. 예를 들어, 아파치가 SSL을 리디렉션하기 전에 요청 호스트를 볼 수 있기 전에 SSL을 디코딩해야합니다.

또한 참고 사항으로 foo.bar.domain.com은 와일드 카드 인증서에도 유효하지 않습니다 (메모리의 파이어 폭스는 이것을 허용하는 유일한 것입니다).

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.