у нас есть подстановочный сертификат ssl для * .domain.com, и у нас есть веб-сайт с sub1.sub2.domain.com
Safari 4.0.4 в MacOsx выдает ошибку сертификата (предположительно из-за интерпретации с подстановочными знаками), а safari 4 в Windows - нет.
также поведение ie8 в лучшем случае смешанное, некоторые ie8 не отображают ошибку сертификата, а некоторые нет.
Что вызывает это странное поведение в Safari и IE?
ssl-certificate
wildcard-subdomain
Porto Alet
источник
источник
Ответы:
Сертификат SSL с подстановочными знаками для * .example.net будет соответствовать sub.example.net, но не будет sub.sub.example.net .
Из RFC 2818 :
источник
*.*.example.com
можете защитить субдомены первого и второго уровня?Если вам нужен подстановочный сертификат, содержащий сайты * .domain.com, а также работающий с sub1.sub2.domain.com или другим доменом, например * .domain2.com, вы можете решить это с помощью одного подстановочного сертификата с тем, что называется субъектом. расширение альтернативного имени (SAN) для каждого из других субдоменов. Сертификат SAN предназначен не только для нескольких конкретных имен хостов, он также может быть создан для записей с подстановочными знаками.
Например, * .domain.com, sub1.sub2.domain.com и * .domain2.com будут иметь общее имя * .domain.com, тогда вы можете присоединить альтернативное имя субъекта как * .domain2.com, так и * .sub2.domain.com. Это может зависеть от центра сертификации от того, как они будут взимать с вас (или нет) плату за сертификат, но есть некоторые, где это предложение доступно. Кроме того, поддержка SAN довольно широко распространена в пространстве веб-браузера. Лучший реальный пример такого использования - сертификат SSL от Google. Откройте Google и просмотрите его SSL-сертификат. Вы увидите, что он работает для * .google.com, * .youtube.com, * .gmail.com и многих других, где они указаны в качестве альтернативных имен субъектов.
источник
*.DOMAIN.COM
этого, который имеет SAN для*.*.DOMAIN.COM
(и, возможно,*.*.*.DOMAIN.COM
) для покрытия этих субдоменов и субдоменов?Подстановочный знак применяется только к первой части (слева) вашего домена. Так что вам понадобится сертификат для * .sub2.domain.com
Если вы имели в виду, что у вас есть sub1.domain.com и sub2.domain.com, то это должно работать.
источник