现有https证书添加通配符

Question

抱歉，如果重复了，四处乱翻，但什么也找不到。

我有4个URL，我想使用相同的证书。

dev.myapp    
qa.myapp    
dr.myapp    
myapp

我拿到了通配符的证书*我的应用程序。我在dev中测试这一点，但是这似乎不起作用，AWS告诉我通配符应该是*.myapp

关于这个的几个问题。

1)是否可以将现有证书更改为使用通配符*.myapp？但这会在我的“我的应用程序”env中起作用吗？

2)有两个通配符(myapp和*.myapp )是正确的吗？如果我可以将通配符添加到现有证书中，则同样的问题也适用。

Answer 1

您不能更改已颁发的证书。没有人能做到；如果他们能做到，整个系统将是不安全的。

您可以做的是让CA发布一个新的(有些不同的)证书来替换有问题的证书。许多CA可能都有这样做的规定，而不重复身份和/或域名的所有权证明，也不需要额外的费用(如果有的话)，但细节取决于CA，有时取决于您购买的功能，而这些功能您还没有仔细识别，因此不可能给出具体的答案。

另外，我认为您指定的名称是伪造的，因为myapp不是TLD，如果它是TLD，您将不会控制它，而且根本就没有人可以控制TLD的后缀。假设您的实际名称更像是：

1     example.com
2 dev.example.com
3  qa.example.com
4  dr.example.com

而且您是example.com的“所有者”(或者至少是控件)，那么通配符证书*.example.com匹配2-4，而不是1。没有通配符可以匹配所有四个。

但是，SSL/TLS证书(包括HTTPS)并不仅限于一个名称:它们支持可以有多个名称的SubjectAlternativeNames扩展。这通常是缩写SAN，也称为‘多域’或在微软世界'UCC‘。在过去的几十年中，CA经常为此收取额外费用，但近年来，它已成为基本服务中的普遍内容。例如，如果您为www.example.com购买/请求证书，那么现在许多CA实际上会自动为您提供SAN=www.example.com,example.com。(确切地说，SAN=dnsName:www.example.com,dnsName:example.com是因为SAN还可以做一些与SSL/TLS/HTTPS无关的事情。)

对于您的情况，SAN=example.com,*.example.com将实现您想要的结果。SAN=example.com,dev.example.com,qa.example.com,dr.example.com也是如此，尽管这会将您的子域名“公开”给监视和/或启动到您服务器的连接的任何人。请与您的CA联系，看看他们是否会在其中一个表单中向您颁发新的证书。