Как создать SSL-сертификат для нескольких поддоменов?

Я использую сервер «myserver.net», который имеет поддомен «a.myserver.net» и «b.myserver.net».

При создании (самозаверяющих) SSL-сертификатов мне нужно создать по одному для каждого субдомена, содержащего полное доменное имя, хотя эти субдомены являются просто vhosts.

OpenSSL допускает только одно «общее имя» - домен, о котором идет речь. Есть ли возможность создать сертификат, действительный для всех поддоменов домена?

Да, используйте * .myserver.net в качестве общего имени.

Это называется подстановочными знаками, и с этим ключевым словом можно найти множество практических рекомендаций.

Вот один из них: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- сертификат

Обновление: если вы хотите, чтобы сертификат также соответствовал корневому домену (myserver.net), вам следует использовать расширение Subject Alternative Name. При создании сертификата с использованием openssh введите «* .myserver.net / CN = myserver.net» в качестве общего имени.

Совместимо достаточно хорошо , если у вас нет древнего браузера.

Так же, как к вашему сведению, существует еще один вид сертификата, который также называется Сертификат унифицированных коммуникаций. Подстановочный знак может быть выдан только для, *.domain.comно сертификат UCC позволяет вам перечислить до 100 полных доменных имен (FQDN) в любом домене. Основная причина получить один из них заключается в том, что Microsoft не слишком заинтересована в подстановочных знаках для таких вещей, как контроллеры домена MS, Exchange и т. Д.

https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

Сертификат унифицированных коммуникаций (UCC) - это сертификат SSL, который защищает несколько доменных имен и несколько имен хостов в доменном имени. UCC позволяет защитить первичное доменное имя и до 99 дополнительных альтернативных имен субъекта (SAN) в одном сертификате. UCC идеально подходят для Microsoft® Exchange Server 2007, Exchange Server 2010 и Microsoft Live® Communications Server.

UCC совместимы с виртуальным хостингом. Тем не менее, информация о печати и сертификате сайта «Issued To» будет содержать только основное имя домена. Обратите внимание, что любые дополнительные учетные записи хостинга также будут перечислены в сертификате, поэтому, если вы не хотите, чтобы сайты выглядели «связанными» друг с другом, вам не следует использовать этот тип сертификата.

Основным недостатком UCC является то, что вы должны заранее перечислить все свои домены (подстановочные знаки не требуют этого). Если список когда-либо изменится, вам придется получить новый сертификат. Между прочим, Namecheap (только один из тех, что я знаю об этом) предлагает расширенную проверку UCC (вы платите за домен, что означает, что 100 сертификатов домена ОЧЕНЬ дорого), что является единственным способом получить сертификат EV для нескольких доменов. , как никто не предлагает EV Wildcards.

Это правильный вопрос. К сожалению, насколько я понимаю, протоколы никогда не предполагали, что владелец домена сможет подписывать сертификаты только для поддоменов.

Вы либо СА для чего-либо, либо ничего. Нет никаких ограничений по объему, если вы являетесь центром сертификации.

Глупо, но так оно и есть. Просто купите отдельный сертификат для каждого отдельного домена, который у вас есть $$$, это правильно для каждого, так что не пытайтесь защитить встроенные устройства, которые вы продаете.