158

我们有一个通配符 SSL 证书*.domain.com,并且有一个网站sub1.sub2.domain.com

MacOS 上的 Safari 4.0.4 会弹出证书错误(可能是由于通配符解释),而 Windows 上的 Safari 4 则不会。

IE8 的行为也充其量是混合的,有些 IE8 显示证书错误,有些则不显示。

是什么导致 Safari 和 IE 出现这种奇怪的行为?

4

3 回答 3

206

*.example.net的通配符 SSL 证书将匹配sub.example.net但不匹配sub.sub.example.net

来自RFC 2818

使用RFC2459指定的匹配规则执行匹配 。如果证书中存在多个给定类型的身份(例如,多个 dNSName 名称,则认为任何一组中的匹配都是可接受的。)名称可能包含*被认为与任何单个域匹配的通配符命名组件或组件片段。例如,*.a.com匹配foo.a.com但不匹配bar.foo.a.comf*.com匹配foo.com但不匹配bar.com

于 2012-03-16T19:51:31.287 回答
78

如果您需要一个包含 *.domain.com 站点的通配符证书,并且还需要使用 sub1.sub2.domain.com 或像 *.domain2.com 这样的其他域,您可以使用带有主题的单个通配符证书来解决这个问题每个其他子子域的备用名称 (SAN) 扩展名。SAN 证书不仅适用于多个特定主机名,还可以为通配符条目创建。

例如,*.domain.com、sub1.sub2.domain.com 和 *.domain2.com 将具有 *.domain.com 的通用名称,然后您将附加 *.domain2.com 和*.sub2.domain.com。它可能取决于证书颁发机构如何向您收取(或不收取)证书的费用,但有一些可以提供此产品的地方。此外,对 SAN 的支持在 Web 浏览器领域非常普遍。这种使用的最佳现实世界示例,它是 Google 的 SSL 证书。打开 google 并查看它的 SSL 证书,您会看到它适用于 *.google.com、*.youtube.com、*.gmail.com 以及更多它们被列为主题替代名称的地方。

于 2013-04-21T03:54:24.477 回答
19

通配符仅适用于您域的第一部分(从左侧开始)。因此,您需要 *.sub2.domain.com 的证书

如果您的意思是您有 sub1.domain.com 和 sub2.domain.com,那么它应该可以工作。

于 2011-05-30T17:46:20.593 回答