是否必须为子域购买第二个通配符证书？

Question

我们已经有了*.mycompany.com的通配符证书。我们的网络有只能在内部访问的主机。它们都属于internal.mycompany.com子域。有一个主机名为server.internal.mycompany.com的私有服务器，我在其上部署了通配符证书。

当我访问web服务器时，我会得到一个主机名不匹配错误。我真的需要为*.internal.mycompany.com获得另一个通配符证书吗?还是还有其他的(免费的！)如何对所有子域及其子域使用通配符证书而不会在浏览器中出现错误？

Answer 1

#是的，你必须再买一台certificate*#

星号通配符*将只匹配已解析的FQDN中的1个标签。

此行为在描述DNS标签匹配和回退到星号标签时反映了RFC 4592 3.3节。

如果只需要保护.internal.mycompany.com.命名空间下的单个端点，则不需要通配符证书，只需购买常规的单主题证书即可。

*) CA/Browser论坛对公共证书颁发的基准要求确实允许在证书的SAN扩展中使用通配符名，因此从技术上讲，一个通配符证书对于多个子域上的通配符匹配是有效的，但是我从未在任何地方看到过这种产品的广告，而且我认为它是公开昂贵的。

Answer 2

根据WildCard SSL证书安全协议，它只允许一级域的保护，这也包括您的主域，如domainname.com和domain.domainname.com。它允许无限的子域安全，但它们必须是第一级域。

如果您想保护您的子域名，该名称采用domain.domain.domainname.com格式，技术上称为二级子域名，那么您必须拥有另一个通配符SSL证书，特别是该子域名的安全性。

Answer 3

通配符SSL证书只能保护单层子域。如果您有为*.mycompany.com颁发的通配符SSL，那么它将保护mycompany.com及其所有子域。

如果您的需求是保护二级子域，那么您应该为*.internal.mycompany.com创建CSR (在此条件下，mycompany.com将在浏览器中获得域名不匹配警告，因此您需要为mycompany.com购买标准SSL证书)

这是有可能的安全，您的整个网站与单一的多域证书。使用多域SSL证书，您可以保护多个网站、子域和多级子域.

• mycompany.com
• mycompany.co.uk
• internal.mycompany.com
• *.mycomapany.com
• server.internal.mycompany.com ..anycompany.anytld

多域SSL证书也称为SAN SSL证书，并将每个条件计算为单独的SAN名称。

您应该评估在mycomapny.com和*.internal.mycompany.com下创建了多少子域，这将有助于选择正确的证书产品。

在这里已经解释了详细的场景- 二级子域的通配符SSL证书