主域SSL不工作，但通配符子域正在工作。

Question

我通过AWS 53号公路有一个域名，

主域是通过letsencrypt方法保护的，但不适用于任何通配符/子域.

我尝试用*.example.com域和记录中的DNS TXT验证方法重做cert。这在我的端点上工作，这些端点被GeoDNS路由到它们的特定实例，即fr.example.com和us.example.com .但是现在，当我转到我的主域example.com时，它现在说它不再安全(不再安全了)，而且由于"invalid cert"，我的大部分代码引用了这个主域错误。

当我通过Chrome浏览器加载这个主域时，它会报告“不安全”，当我单击它时，要看到Certificate: (Not Secure) --我会点击它--会弹出详细信息，显示我的*.example.com域，但显示绿色表示该域是安全的。...？

在Safari里写着*.example.com certificate name does not match input.

有什么不对吗？如何用通配符的安全保护我的主域？

Answer 1

证书上的通配符名称仅与子域匹配。要保护“裸”域的安全，需要将该名称单独添加到Subject Alternative name列表中。

有关通配符证书的一些限制在这个职位中解释。

通配符证书-- V2 API支持颁发通配符证书。要请求通配符证书，只需在newOrder请求中发送通配符DNS标识符。在“让我们加密”策略下，通配符标识符必须由DNS-01挑战进行验证，因此与通配符相对应的订单授权只能提供DNS-01挑战。证书中的DNS名称可能只有一个通配符，并且它必须是整个最左边的DNS标签，例如*.example.com。单个证书可以具有多个基本域的通配符DNS名称，也可以混合使用非通配符名称。同时包含基域及其通配符等价物(例如*.example.com和example.com)的订单是有效的。在这种情况下，example.com将有两个授权对象，其中一个表示通配符验证，另一个表示基本域验证。冗余条目将产生错误。例如，包含*.example.com和www.example.com的order会产生一个错误，因为通配符条目使得后者变得多余。

在通配符证书方面，虽然维基百科不是一个可靠的引用源，但是给出的例子是准确的。

https://*.example.com的一个通配符证书将保护https://*.example.com域上的所有这些子域：

• payment.example.com
• contact.example.com
• login-secure.example.com
• www.example.com

..。

因为通配符只覆盖一个级别的子域(星号不匹配句号)，这些域对证书无效：

• test.login.example.com

单独添加为主题替代名称时，“裸”域是有效的：

• example.com

请注意CA可能出现的异常，例如DigiCert的通配符+ cert包含裸露域example.com的自动"Plus“属性。