如何为多个子域创buildSSL证书?

我正在运行一个服务器“myserver.net”,它有子域名“a.myserver.net”和“b.myserver.net”。

创build(自签名)SSL证书时,我必须为每个包含FQDN的子域创build一个,即使这些子域只是虚拟主机。

OpenSSL只允许一个“公共名称”,这是有问题的域名。 是否有可能创build一个有效的域的所有子域的证书?

是的,使用* .myserver.net作为通用名称。

这被称为通配证书,并且有大量的关于这个关键字的howtos查找。

这是其中之一: https : //web.archive.org/web/20140228063914/http : //www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl-证书

更新:如果您希望cert也匹配根域(myserver.net),那么您应该使用主题备用名称扩展名。 当使用openssh生成证书时,input“* .myserver.net / CN = myserver.net”作为通用名称。

兼容性不错 ,除非你有一个古老的浏览器。

就像参考一样,还有另外一种证书,也就是统一通信证书。 通配符只能针对*.domain.com发布,但UCC证书允许您在任何域下列出最多100个完全限定的域名(FQDN)。 获得其中一个主要原因是微软不太喜欢MS域控制器,Exchange等通配符。

https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

统一通信证书(UCC)是一个SSL证书,用于在域名内保护多个域名和多个主机名。 通过UCC,您可以在一个证书中保护一个主域名和多达99个附加的主题替代名称(SAN)。 UCC是Microsoft®Exchange Server 2007,Exchange Server 2010和MicrosoftLive®Communications Server的理想select。

UCC与共享主机兼容。 但是,网站的印章和证书“颁发给”信息只会列出主要域名。 请注意,任何二级托pipe帐户也将在证书中列出,所以如果您不希望网站显示“彼此连接”,则不应使用此类证书。

UCC的主要缺点是你必须提前列出你所有的域名(通配符不需要这个)。 如果列表发生了变化,您将不得不获得新的证书。 顺便说一下,Namecheap(我知道这只是一个这样做)提供了一个扩展validationUCC (你为每个域付费,这意味着一个100域名证书是非常昂贵的),这是获得多个域的EV证书的唯一方法,因为没有人提供EV通配符。

这是一个有效的问题。 不幸的是,从我所了解的协议中,域名的所有者永远不能仅仅为子域签名证书。

你是一个什么也不是什么的CA。 一旦你是一个CA,范围没有限制。

愚蠢的,但就是这样。 只要为您拥有$$$的每个域名购买单独的证书,那么每个域名都是正确的,因此请勿尝试保护您销售的embedded式设备。