Puis-je utiliser la même certification générique pour * .domain.com et domain.com

Réponses:

11

Je semble me rappeler que * .domain.com viole de toute façon la RFC (je pense que seul lynx se plaint cependant :)

Créez un certificat avec domain.com comme CN et * .domain.com dans le subjectAltName:dNSNamechamp des noms - cela fonctionne.

Pour openssl, ajoutez ceci aux extensions:

subjectAltName          = DNS:*.domain.com
MikeyB
la source
Awww, je viens de l'essayer et cela ne fonctionne pas, du moins dans Firefox.
Inconnu
Un détail: assurez-vous que * .domain.com est dans le champ subjectAltName: dNSName
MikeyB
@Supermathie comment faire cela dans la ligne de commande?
Inconnu
Vous ne pouvez pas le faire directement sur la ligne de commande, mais vous pouvez utiliser -extfile et -extensions.
MikeyB
+1 ... c'est ainsi que nous gérons nos certificats génériques. Je ne peux cependant pas recommander comment faire cela avec openssl.
Doug Luxem
7

Malheureusement, vous ne pouvez pas faire cela. Les règles de gestion des caractères génériques sur les sous-domaines sont similaires aux règles relatives aux cookies pour les sous-domaines.

www.domain.com       matches    *.domain.com
secure.domain.com    matches    *.domain.com
domain.com      does not match  *.domain.com
www.domain.com  does not match  domain.com

Pour gérer cela, vous devrez obtenir deux certificats, l'un pour *.domain.comet l'autre pour domain.com. Vous devrez utiliser deux adresses IP distinctes et deux hôtes gèrent ces domaines séparément.

Dave Cheney
la source
2
Vous pouvez absolument le faire - c'est fait tout le temps - voir la réponse ci-dessus. Ceci est accompli en utilisant le CN et l'extension de nom alternatif du sujet. techbrahmana.blogspot.com/2013/10/…
John Kloian
4

De nos jours, les caractères génériques auront * .domain.com et domain.com dans le champ de nom alternatif sujet (SAN). Par exemple, jetez un œil au certificat SSL générique de quora.com

Tu verras

Autres noms de sujet: * .quora.com, quora.com

Yogi
la source
Je viens de le confirmer sur l'un de mes propres certificats génériques (de Comodo) - non-www a très bien fonctionné.
ceejayoz
2

Ce n'est probablement pas la réponse que vous cherchez, mais je suis sûr à 99% qu'il n'y a pas moyen. Redirigez http://domain.com/ vers https://www.domain.com/ et utilisez simplement * .domain.com comme certificat SSL. C'est loin d'être parfait, mais devrait, espérons-le, couvrir la plupart des cas qui vous intéressent. La seule autre alternative consiste à utiliser des adresses IP différentes pour domain.com et www.domain.com. Ensuite, vous pouvez utiliser différents certificats pour chaque IP.

marque
la source
Vous avez raison. "domain.com" est un sous-domaine de ".com", donc le caractère générique qui fonctionnerait serait "* .com". C'est pourquoi un certificat pour * .domain.com fonctionne pour "www.domain.com" mais pas, "www.acct.domain.com".
sysadmin1138
1

Non, car ils sont complètement différents. rediriger le tld n'est pas une option non plus car SSL est un cryptage de transport, il doit décoder le ssl avant qu'apache par exemple ne puisse même voir l'hôte de la demande pour le rediriger.

Également comme remarque: foo.bar.domain.com n'est pas non plus valide pour un certificat générique (Firefox de mémoire est le seul à permettre cela.

Brendan
la source