Нужно ли покупать второй подстановочный сертификат для субдомена?
У нас уже есть подстановочный сертификат для *.mycompany.com, В нашей сети есть хосты, которые доступны только внутри. Все они принадлежат internal.mycompany.com поддомен. Есть частный сервер с именем хоста server.internal.mycompany.com на котором я развернул наш групповой сертификат.
Когда я посещаю веб-сервер, я получаю ошибку несоответствия имени хоста. Должен ли я получить еще один сертификат для *.internal.mycompany.com или есть другой (бесплатный!?) способ использования нашего группового сертификата для всех наших поддоменов и его поддоменов без получения ошибки в браузере?
3 ответа
Да, вам придется купить еще один сертификат *
Звездочка подстановочный знак * будет соответствовать только 1 метке в разрешенном полном доменном имени.
Это поведение отражает RFC 4592, раздел 3.3, в описании соответствия меток DNS и отката к метке звездочки.
Если вам нужно защитить только одну конечную точку под .internal.mycompany.com. namespace, вам не нужен подстановочный сертификат, просто купите обычный односубъектный сертификат.
*) Базовые требования CA/Browser Forum к выдаче общедоступных сертификатов допускают использование подстановочных имен в расширении SAN сертификата, поэтому технически, один подстановочный сертификат может быть действительным для сопоставления с подстановочными знаками в нескольких поддоменах, но я никогда не видел этот тип продукта, рекламируемого в продаже везде, и я бы предположил, что это слишком дорого
В соответствии с протоколами безопасности WildCard SSL Certificate он позволяет только защиту домена первого уровня, который также включает ваш основной домен, такой как domainname.com и domain.domainname.com. Это позволяет неограниченную безопасность поддоменов, но они должны быть доменами первого уровня.
Если вы хотите защитить ваше имя субдомена, которое форматируется в файле domain.domain.domainname.com, технически известном как имя субдомена второго уровня, то вам нужен еще один подстановочный SSL-сертификат для обеспечения безопасности этого имени субдомена.
SSL-сертификат Wildcard может защищать только одноуровневые субдомены. Если у вас есть подстановочный SSL-сертификат, выданный для *.mycompany.com, он защитит mycompany.com и все его субдомены.
Если ваше требование заключается в защите поддоменов второго уровня, поэтому вы должны создать CSR для *.internal.mycompany.com (при этом условии mycompany.com получит предупреждение о несоответствии доменного имени в браузерах, поэтому вам необходимо приобрести стандартный SSL сертификат для mycompany.com)
Возможно, что ваш сайт будет защищен одним сертификатом с несколькими доменами. С помощью многодоменного SSL-сертификата вы можете защитить несколько веб-сайтов, поддоменов и многоуровневых поддоменов.
- mycompany.com
- mycompany.co.uk
- internal.mycompany.com
- *.mycomapany.com
- server.internal.mycompany.com..anycompany.anytld
Многодоменный SSL-сертификат, также известный как SAN SSL-сертификат, учитывает каждое условие как отдельное имя SAN.
Вы должны оценить, сколько поддоменов создано под mycomapny.com и *.internal.mycompany.com, что поможет выбрать правильный продукт сертификата.
Здесь в уже объясненном подробном сценарии - Подстановочный SSL-сертификат для субдомена второго уровня