SSL通配符可以有多个/嵌套级别的通配符吗？

Question

我知道SSL通配符证书(*.example.org)可以用于支持域下的许多名称(a.example.org、b.example.org、c.example.org)。我还知道，*只适合于匹配单个级别的名称。也就是说，*.example.org不会在a.b.example.org上工作。

如果我使用一个名为..example.org的证书怎么办？我想构建一个具有以下名称配置的证书：

CN=example.org
subjectAltName=DNS:example.org, DNS:*.example.org, DNS:*.*.example.org, DNS:*.*.*.example.org

我试过像这样建立一些自我签署的证书，但我没有取得好的效果。例如，chrome告诉我“服务器的证书与URL不匹配”。

是否有可能在证书中嵌套通配符，或者流行的浏览器不支持这一点？

编辑--我相信可以像这样构建一个证书:我已经用OpenSSL完成了。只是看起来浏览器能理解它。我希望能证实这一点，或者如果我幸运的话，我会说一句“你是怎么做到的。”

Answer 1

一些SSL证书提供程序通过在通配符证书中提供"subject alternative name“功能来做类似的事情。

Digicert显然是这么做的，但我不确定Verisign会不会这么做。

http://www.digicert.com/welcome/wildcard-plus.htm