浏览器是否信任通配符SSL证书？

Question

我已经设置了一个开发服务器，在这里我需要测试大量的LAMP站点。它们的域名采用如下格式：

https://webapp1.test.example.com
https://anotherwebapp.test.example.com
https://anotherclientssite.test.example.com

我想为他们获得SSL证书。因为为他们每个人获得一个证书是一个麻烦，所以我决定使用“让我们加密”和“certbot”来获得*.example.com的通配符SSL证书.

...but现在安装了证书之后，我仍然无法让浏览器信任它们；它们仍然显示关于证书如何不能被信任的警告。在火狐的例子中，错误是"SSL_ERROR_BAD_CERT_DOMAIN"，它说“此证书对webapp1.test.example.com无效，该证书仅对以下域有效：*.example.com，example.com”。

我用来生成证书的命令是：

certbot certonly --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory --manual-public-ip-logging-ok -d '*.example.com' -d example.com

如何生成所有浏览器默认信任的通配符证书？

Answer 1

是的，但是通配符不是那样工作的。*.example.com将与foo.example.com和bar.example.com相提并论，但不会与foo.bar.example.com匹敌。

因为不允许使用多个通配符，所以不能通过使用*.*.example.com来解决这个问题。但是，您可以添加*.test.example.com，以及您正在测试的任何其他子域，即：

certbot certonly ... -d '*.test.example.com' -d '*.example.com' -d example.com