使用域通配符证书时从主机名中删除域

Question

我正在建立一个小型网络，其中有几个服务器，如vaultwarden、jenkins和gitlab。

我想使用带有CA签名证书的https。为此，我购买了一个域(比方说foobar.com)，并且已经获得了*.hq.foobar.com的通配符证书。

当我访问https://vaultwarden.hq.foobar.com/时，我没有来自浏览器的任何抱怨，并且证书是有效的。

毫不奇怪，如果我访问https://vaultwarden/，浏览器会警告潜在的安全风险，因为颁发的证书只对*.hq.foobar.com中的域有效。

我的问题是，有没有办法避免有这么长的名字(gitlab.hq.foobar.com，jenkins.hq.foobar.com.)对于我的网络中的所有服务，同时保持一个公开可信的证书？

我希望避免使用自签名证书，或者创建私有CA，并且必须信任网络中所有计算机中的任何证书。

公司如何管理这一问题？我以前工作过的地方都有自我签署的证书，这在我看来并不安全，但却很方便。

Answer 1

我的问题是，有没有办法避免有这么长的名字(gitlab.hq.foobar.com，jenkins.hq.foobar.com.)对于我的网络中的所有服务，同时保持一个公开可信的证书？

不是的。NetBIOS (仅限于主机名)在互联网PKI中是不允许的。每个证书都是针对指定域中的主机名(或通配符情况下的所有主机)颁发的。你必须证明这个领域的所有权。

在您的示例中，https://vaultwarden/被视为单标签vaultwarden域，而不是主机名。单标签域名也是不允许的，你既不能证明它的所有权，也不能购买它。这意味着您不能使用从全局受信任的CA获得的证书来执行此操作。

与使用自签名证书不同，可以方便地使用仅在您管理的环境中受信任的私有CA。