ssl - 是否可以获得一个 SSL 证书 *.mysubdomain.example.com 和 mysubdomain.example.com

Question

是否可以获得一个 SSL 证书*.mysubdomain.example.com，并且mysubdomain.example.com我需要，因为我在我的专用服务器上使用 2 个 IP，但现在我在 azure 上迁移到 Azure，我们无法添加两个 https 端点。或其他天蓝色解决方案我需要两个 https 端点

score 3 · Accepted Answer

您可以购买通配符 SSL 证书，用于加密对 *.example.com 的请求。这将适用于无限数量的三级子域。要包含二级 (example.com) 和四级 (subforthlev.subthirdlev.example.com) 或更高的子域，您必须找到允许您在通配符证书。每个非三级域都需要手动添加为 SAN。

编辑：我已经多次使用DigiCert 的通配符证书，并且没有遇到没有安装根证书的浏览器或设备（请参阅它们的兼容性列表）。DigiCert 通配符证书允许您保护无限数量的子域，无论域级别如何。摘自第一个链接：

DigiCert WildCard ssl 证书的独特之处在于它允许您保护域的任何子域，包括使用一个证书的多个级别的子域。例如，*.digicert.com com 的通配符可以包含 server1.sub.mail.digicert.com 作为主题备用名称。

score 1 · Accepted Answer

您可以使用多个 SSL 证书并将它们全部添加到同一端点，方法是自动在计算机上安装证书并将 HTTPS 绑定添加到 IIS。

IIS 8 (Windows Server 2012) 支持 SNI，它使您能够将“主机头”添加到 HTTPS 绑定。

我是 Microsoft 技术传播者，我已在以下位置发布了详细说明和示例“即插即用”源代码： http: //www.vic.ms/microsoft/windows-azure/multiples-ssl-certificates-on -windows-azure-云服务/

score 1 · Accepted Answer

如果您希望您的证书对和都有效，则它需要为两者*.mysubdomain.example.com都有mysubdomain.example.com一个主题备用名称条目。

*.mysubdomain.example.com通配符表达式不mysubdomain.example.com涵盖.

这些规则在RFC 2818中定义并在 RFC 6125中阐明：

   If the wildcard character is the only character of the left-most
   label in the presented identifier, the client SHOULD NOT compare
   against anything but the left-most label of the reference
   identifier (e.g., *.example.com would match foo.example.com but
   not bar.foo.example.com or example.com).

实际上，这确实是大多数浏览器的反应方式。

然而，颁发通配符证书的 CA 很可能*.mysubdomain.example.com也会为mysubdomain.example.com. 请咨询您的 CA。

ssl - 是否可以获得一个 SSL 证书 *.mysubdomain.example.com 和 mysubdomain.example.com

3 回答 3

Related

Reference