Joker karakter SSL ortak adı - bir şey çağrılabilir mi?


34

Sadece bir joker karakter sertifikasının, kendisine uygulanan SSL sertifikasına ihtiyaç duyan sitelerin alan adını içeren ortak bir isme sahip olup olmayacağını merak ediyorum.

Örneğin, aşağıdakiler için:

Etki alanı adı: testdomain.com

Alt siteler:

  • www.testdomain.com
  • mobile.testdomain.com
  • mytestenvironment.testdomain.com

Ortak bir adın olması için joker koduma mutlaka ihtiyacım var *.testdomain.commı?


serverfault.com bu soru için daha iyi bir yer olabilir.

Yanıtlar:


38

Evet, genel adınız bir joker sertifika için * .alanadiniz.com olmalıdır.

Temel olarak, Ortak Ad, sertifikanızın hangi etki alanı için iyi olduğunu belirten addır, bu nedenle gerçek etki alanını belirtmesi gerekir.

Açıklama: Sitelerin etki alanı adını "içermemesi", sitelerin etki alanı olması gerekir . Sorunuzda bir fark olmadığını tahmin ediyorum, sadece alanın ne olması gerektiği veya sertifikanın ne için kullanılacağına dair yanlış bir anlayış varsa diye açıklığa kavuşturmak istedim.


4

Aslında, FQDN'leri belirtmek için sertifikanın bölümündeki dnsNamegirişleri kullanmanız gerekir . Kullanma RFC 2818 2000 aktaran yayımlandı beri bu amaçla geçerliliğini yitirmiştir bölüm 3.1 :subjectAltNamesubjectsubject

DNSName türünde subjectAltName uzantısı varsa, bu kimlik olarak kullanılmalıdır. Aksi halde, sertifikanın Konu alanındaki (en özel) Ortak Ad alanı KULLANILMALIDIR. Ortak Ad kullanımı mevcut bir uygulama olmasına rağmen, kullanımdan kaldırılmıştır ve Sertifika Yetkilileri yerine dNSName kullanmaya teşvik edilir.

İçeriğinin, subjectsunucu sertifikası doğrulaması bağlamında uygun olduğu tek durum , dnsNamedahil subjectAltNameedilmemiş olması durumunda, son 17 yıldır yazı tarihinde kullanımdan kaldırılmış bir davadır.

Joker sertifikalarının kullanımı, RFC 6125'in 7.2 numaralı bölümünde gösterildiği gibi kullanımdan kaldırılmıştır :

Bu belge, '*' joker karakterinin sunulan tanımlayıcılara dahil edilmemesi gerektiğini, ancak uygulama istemcileri tarafından kontrol edilebileceğini (özellikle konuşlandırılmış altyapı ile geriye dönük uyumluluk uğruna kontrol edilebilir) belirtir.

Birden fazla servis için aynı özel anahtarı kullanmak genellikle kötü bir uygulama olarak kabul edilir. Servislerden birinin tehlikeye atılması durumunda, diğer servislerden gelen iletişimler risk altında olacaktır ve tüm servisler için anahtarı (ve sertifikayı) değiştirmeniz gerekecektir.

Bu konuda iyi bir bilgi kaynağı olarak RFC 6125'i öneririm.


“Ve joker sertifikalar da öyle”: lütfen detaylandırır mısınız? dnsNamebir joker alan içerebilir. Ayrıca, subjectbu durumda ne olmalı ?
WoJ

RFC 6125 bölüm 1.5 ve 7.2'ye bakınız . subjectAltNameEn az bir tane içerdiği sürece dnsName, içeriğinin subjectsertifika doğrulaması bağlamında önemi yoktur.
Erwan Legrand

@WoJ Cevabımı düzenledim. Umarım bu şimdi daha açıktır.
Erwan Legrand

3

Evet, Wildcard SSL Sertifikası gereksinimlerinize göre en iyi çözümdür. Wildcard sertifikası ile ziyaretçinizin bilgilerini koruyabilirsiniz. Web sitenizin hangi sayfasının gönderildiği önemli değildir. Joker karakter sertifikası, aynı etki alanı adını paylaşan sınırsız sayıda alt etki alanı güvence altına alır.

Aynı joker sertifikayı tüm alt alanlara ve sunuculara yüklemek, dahili bir risk taşır: bir sunucu veya alt etki alanı tehlikeye atılırsa, tüm alt etki alanları eşit şekilde tehlikeye girebilir. Web sitenizin, tüm harici ve dahili baskılara karşı çok sayıda koruma ile korunduğundan emin olun.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.