使用通配符域和SAN可以使用单个证书保护多个域吗?
例如,一个保护*.domain1.com and *.domain2.com两个的SAN证书?
到目前为止,我所阅读的所有内容似乎都表明您可以拥有通配符证书(* .domain1.com)或SAN证书(host1.domain1.com,host2.domain2.com),但不能组合使用。这是对的吗?
答案 0 :(得分:27)
是的,肯定是 技术上 。例如,Microsoft Outlook Web Access(https://outlook.office365.com)的cetrtificate发布到outlook.com,并在SAN部分中包含通配符和非通配符名称的组合:
DNS Name=outlook.com
DNS Name=*.outlook.com
DNS Name=office365.com
DNS Name=*.office365.com
DNS Name=*.live.com
DNS Name=*.internal.outlook.com
DNS Name=*.outlook.office365.com
DNS Name=outlook.office.com
DNS Name=attachment.outlook.office.net
DNS Name=attachment.outlook.officeppe.net
当然,正如上面所指出的,这个证书是微软自己发布的,所以他们几乎可以做他们想要的。
答案 1 :(得分:19)
我假设您使用想要使用HTTP证书。在这种情况下,您需要查看RFC 2818。此RFC明确定义只有在未配置主题备用名称时才应使用公用名,但它允许SAN扩展中的通配符证书。因此,应该可以在证书的SAN部分中组合多个非通配符和通配符证书。
看起来各种CA在创建混合通配符和非通配符的证书方面有不同的策略:虽然Thawte认为混合是不可能的(https://community.thawte.com/blog-posts/difference-between-wildcard-ssl-vs-san-certificate)但DigiCert将它作为两个世界中最好的传播({{3} })。所以它似乎更多是CA的限制而不是浏览器的限制,绝对不是标准。
答案 2 :(得分:2)
通常,域名或URL只需要一个证书是安全的。但是,如果您需要保护多个域,该怎么办?如何在不牺牲预算和时间的情况下管理他们的安全性?
保护多个域
使用两种方法可以实现多个域的安全,通配符证书和统一通信证书(UCC),也称为SAN(主题备用名称)。 SAN允许您指定要由单个SSL证书保护的其他主机名(站点,IP地址,通用名称等),而通配符证书可以支持单个域和无限数量的第一级子域。 SAN / UCC还可以与通配符组合作为扩展,以向证书添加功能。您可以根据需要将这两个证书组合为多域通配符SSL证书。这使得管理多个网站的安全性比为您拥有的每个域管理单独的SSL证书更容易,更便宜。
答案 3 :(得分:1)
我只是想为您提供有关通配符和SAN证书的概述。
通配符:
通配符证书允许使用单个证书保护无限子域。
例如,您可以为域名abc.com使用通配符证书,该证书也适用于mail.abc.com,ftp.abc.com和任何其他子域。通配符指的是证书是为* .abc.com提供的。
它不允许扩展验证。
SAN:
SAN证书允许使用单个证书保护多个域名。
例如,您可以获得abc.com的证书,然后添加更多SAN值以获得相同的证书保护abc.org,abc.net甚至abc.xyz
它允许扩展验证。