带前缀的通配符证书

Question

我想知道是否可以创建带有前缀的通配符证书。

我知道，*.example.com将涵盖任何在第一级(例如。one.example.com，two.example.com，three-four.example.com等)，但不会涵盖another.one.example.com，因为这是两个级别。

我需要一个识别前缀的通配符证书，所以它是www.*.example.com。

这意味着，www.one.example.com、www.two.example.com、www.three.example.com等都将正确工作。

这是可能的吗?是否有一个证书提供程序可以这样做？

Answer 1

我需要一个识别前缀的通配符证书，所以它是www.*.example.com。这意味着，www.one.example.com、www.two.example.com、www.three.example.com等都将正确工作。这是可能的吗?是否有一个证书提供程序可以这样做？

不是的。根据CA浏览器论坛的规则，RFC2818和RFC6125只允许在最左边的标签中使用一个通配符。这意味着没有www.*.example.com，也没有*.*.example.com。相反，您需要在证书的subject alternative name部分中添加所需的所有域，但是您可以有多个条目，并且可以使用通配符，即*.sub1.example.com、*.sub2.example.com等。

这种具有多个通配符名称的证书是常见的(查看Facebook的证书)，这意味着有提供这些证书的证书提供者。但它们的成本要比其他国家高。

Answer 2

创建一个.cnf-file，如下所示，与openssl req -new -out example.com.csr -key example.com.key -config example.com.cnf一起使用。您可以使用

openssl genrsa -out example.com.key 4096

example.com.cnf文件：

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[req_distinguished_name]
commonName = example.com

[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.2 = *.example.com

Answer 3

也许你需要使用SubjectAltName。

看看：http://wiki.cacert.org/FAQ/subjectAltName