Нужно ли покупать второй подстановочный сертификат для субдомена?

8

У нас уже есть сертификат подстановочного знака для *.mycompany.com. В нашей сети есть хосты, которые доступны только внутри. Все они принадлежат internal.mycompany.comподдомену. Существует частный сервер с именем хоста, server.internal.mycompany.comна котором я развернул наш подстановочный сертификат.

Когда я посещаю веб-сервер, я получаю ошибку несоответствия имени хоста. Действительно ли мне нужно получить еще один групповой сертификат для *.internal.mycompany.comили есть другой (бесплатный!?) Способ использовать наш групповой сертификат для всех наших поддоменов и его поддоменов без получения ошибки в браузере?

security ssl-certificate subdomain domain Рафаэль Бугаевский
источник
2
Лучший способ получить этот ответ - позвонить своему провайдеру ssl и спросить их, есть ли какое-либо решение для этого, это то, что я бы сделал, если у меня возникнут какие-то проблемы и у меня будет платная учетная запись с провайдером. Хотя, насколько я знаю, невозможно использовать подстановочный знак, выданный для вашего основного doamin для субдомена, вам необходимо создать новый сертификат. ,
Пратап
2
Вы можете развернуть бесплатный самоподписанный корневой сертификат для внутренних целей.
Джеймс Райан
@JamesRyan: Пожалуйста, взгляните на мой комментарий, чтобы узнать о принятом ответе и почему я не думаю, что самозаверяющие сертификаты - это решение.
Рафаэль Бугаевский,
Я только что получил ответ от Comodo: «Если вам нужно установить на другом сервере один из ваших поддоменов, вам нужно снова сгенерировать CSR на своем сервере и связаться с…, чтобы заменить CSR и получить ваш сертификат заново. Как только вы получите новый сертификат, попробуйте установить этот новый сертификат для internal.mycompany.com и переиздать сертификат не повлияет на предыдущие установки ».
Рафаэль Бугаевский,

Ответы:

15

Да, вам придется купить еще один сертификат *

Подстановочный знак звездочки *будет соответствовать только 1 метке в разрешенном полном доменном имени.

Это поведение отражает RFC 4592, раздел 3.3 , в описании соответствия меток DNS и отката к метке звездочки.

Если вам нужно защитить только одну конечную точку в .internal.mycompany.com.пространстве имен, вам не нужен подстановочный сертификат, просто купите обычный односубъектный сертификат.

*) Базовые требования CA / Browser Forum к выдаче общедоступных сертификатов допускают использование подстановочных имен в расширении SAN сертификата, поэтому технически, один подстановочный сертификат может быть действительным для сопоставления с подстановочными знаками в нескольких поддоменах, но я никогда не видел этот тип продукта, рекламируемого в продаже везде, и я бы предположил, что это слишком дорого

Матиас Р. Ессен
источник
Когда я запускаю свой собственный CA, я должен был убедиться, что все сертификаты развернуты на всех клиентах, так как моя цель - сделать взаимодействие с пользователем как можно более простым. Когда я покупаю сертификат в уже доверенном центре сертификации, мне нужно только развернуть все на серверах. Однако пара сотен баксов - это большие деньги для внутреннего использования только на пять лет. Я что-то пропустил?
Рафаэль Бугаевский
2
Ну, в этом свете, пара сотен долларов за пять лет, чтобы уменьшить вашу головную боль - это арахис :-)
Матиас Р. Джессен
3
Если у вас есть активный каталог, вы можете автоматически разослать самоподписанный корневой сертификат внутренним пользователям в домене, тогда этот процесс прозрачен для пользователей.
Джеймс Райан
@JamesRyan: В нашей среде нет серверов Windows, но это интересный момент. В конце я укусил пулю, вынул кредитную карту и просто купил еще один сертификат для * .internal.mycompany.com, и теперь все работает, как задумано. Спасибо за помощь ребята.
Рафаэль Бугаевский
3

В соответствии с протоколами безопасности WildCard SSL Certificate он позволяет только защиту домена первого уровня, который также включает ваш основной домен, такой как domainname.com и domain.domainname.com . Это позволяет неограниченную безопасность поддоменов, но они должны быть доменами первого уровня .

Если вы хотите защитить ваше имя субдомена, которое форматируется в файле domain.domain.domainname.com, технически известном как имя субдомена второго уровня, то вам необходимо иметь еще один подстановочный SSL-сертификат для обеспечения безопасности этого имени субдомена.

Джейк Адли
источник
1

SSL-сертификат Wildcard может защищать только одноуровневые субдомены. Если у вас есть подстановочный SSL, выданный для * .mycompany.com, он защитит mycompany.com и все его субдомены.

Если ваше требование заключается в защите поддоменов второго уровня, поэтому вы должны создать CSR для * .internal.mycompany.com (с этим условием mycompany.com получит предупреждение о несоответствии доменного имени в браузерах, поэтому вам необходимо приобрести стандартный SSL сертификат для mycompany.com)

Возможно, что ваш сайт будет защищен одним сертификатом с несколькими доменами. С помощью многодоменного SSL-сертификата вы можете защитить несколько веб-сайтов, поддоменов и многоуровневых поддоменов.

  • mycompany.com
  • mycompany.co.uk
  • internal.mycompany.com
  • * .mycomapany.com
  • server.internal.mycompany.com . .anycompany.anytld

Многодоменный SSL-сертификат, также известный как SAN SSL-сертификат, учитывает каждое условие как отдельное имя SAN.

Вы должны оценить, сколько поддоменов создано под mycomapny.com и * .internal.mycompany.com, что поможет выбрать правильный продукт сертификата.

Здесь в уже объясненном подробном сценарии - Подстановочный SSL-сертификат для субдомена второго уровня

Джейсон Пармс
источник