"A.myserver.net" ve "b.myserver.net" alt alanlarına sahip bir sunucu "myserver.net" çalıştırıyorum.
(Kendinden imzalı) SSL sertifikaları oluştururken, bu alt alanlar sadece vhosts olsa da, FQDN'yi içeren her alt alan için bir tane oluşturmam gerekiyor.
OpenSSL, söz konusu alan adı olan yalnızca bir "ortak ad" a izin verir. Bir alan adının tüm alt alanları için geçerli bir sertifika oluşturma olasılığı var mı?
Yanıtlar:
Evet, ortak ad olarak * .myserver.net kullanın.
Buna joker karakter işaretleri denir ve bu anahtar kelimeyle çok sayıda howtos bulma özelliği vardır.
İşte onlardan biri: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- sertifika
Güncelleme: Sertifikanın kök etki alanıyla da eşleşmesini istiyorsanız (myserver.net), Konu Alternatif Adı uzantısını kullanmalısınız. Openssh kullanarak cert oluştururken Common Name olarak '* .myserver.net / CN = myserver.net' yazın.
Eski bir tarayıcınız yoksa, uyumluluk yeterince iyidir .
Tıpkı bir FYI gibi, Birleşik İletişim Sertifikası olarak da adlandırılan başka bir sertifika türü vardır. Bir joker karakter yalnızca için verilebilir, *.domain.comancak bir UCC sertifikası herhangi bir etki alanı altında 100 adede kadar Tam Nitelikli Etki Alanı Adı (FQDN) listelemenize olanak tanır. Bunlardan birini almanın ana nedeni, Microsoft'un MS Etki Alanı denetleyicileri, Exchange vb. İçin joker karakterlere çok istekli olmamasıdır.
https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908
Birleşik İletişim Sertifikası (UCC), bir etki alanı adı içinde birden çok etki alanı adını ve birden çok ana bilgisayar adını koruyan bir SSL sertifikasıdır. Bir UCC, birincil bir etki alanı adını ve 99 adede kadar ek Konu Alternatif Adını (SAN) tek bir sertifikada güvenceye almanızı sağlar. UCC'ler Microsoft® Exchange Server 2007, Exchange Server 2010 ve Microsoft Live® Communications Server için idealdir.
UCC'ler paylaşılan barındırma ile uyumludur. Ancak, site mührü ve "Verilen" sertifikası bilgileri yalnızca birincil etki alanı adını listeler. Herhangi bir ikincil barındırma hesabının sertifikada da listeleneceğini lütfen unutmayın; bu nedenle sitelerin birbirine 'bağlı' görünmesini istemiyorsanız, bu tür bir sertifika kullanmamalısınız.
UCC'nin ana dezavantajı, tüm etki alanlarınızı ön tarafta listelemeniz gerektiğidir (joker karakterler bunu gerektirmez). Liste değişirse yeni bir sertifika almanız gerekir. Bu arada, Namecheap (bunu yaptığını bildiğim yalnızca bir tanesi) Genişletilmiş Doğrulama UCC'si sunar (etki alanı başına ödeme yaparsınız, yani 100 etki alanı sertifikası ÇOK pahalıdır), bu da birden fazla etki alanı için bir EV sertifikasına sahip olmanın tek yoludur , hiç kimse EV Wildcards sunmadığından.
Bu geçerli bir soru. Ne yazık ki protokollerden anladığım kadarıyla hiçbir zaman bir alanın sahibini sadece alt alan adları için sertifika imzalayabilmeyi amaçlamıyordu.
Ya bir şey için CA'sınız ya da hiçbir şey için. CA olduktan sonra kapsam sınırlaması yoktur.
Aptalca ama böyle. Sahip olduğunuz her bir alan için ayrı bir sertifika satın almanız yeterlidir, bu doğru olan her bir addır, bu yüzden sattığınız gömülü cihazları güvence altına almaya çalışmayın.