我按照优秀的写作how-do-you-sign-certificate-signing-request-with-your-certification-authority来创建我自己的自签名证书。我为* .pro和* .pro.example.com
设置了SAN如果我点击web02.pro.example.com,一切正常。
当我点击web02.pro时,它不起作用:
curl --cacert cacert.pem https://web02.pro/version.html
curl:(51)SSL:没有替代证书主题名称与目标主机名'web02.pro'
web02.pro和web02.pro.example.com都解析为同一台计算机,并且该计算机已设置为回答这两个名称。
我生成的证书显示:
X509v3 Subject Alternative Name:
DNS:*.pro, DNS:*.pro.example.com
对于自签名证书使用未读取的TLD是否有任何限制?
答案 0 :(得分:2)
许多客户端不仅检查证书中所有名称的主机名,还仅允许不太宽松的通配符。这意味着,rank(dta$frequency) # ranks frequencies, increasing
rank(-dta$frequency) # rank decreasing
rank(-dta$frequency)[dta$length == 8] # rank of length 8: 3rd most common
或*.pro.example.com
等通配符被视为有效,而仅指定顶级域*.example.com
的通配符被视为无效,并且不会包含在验证过程中。
这样做的原因是,在顶级域名下方,您通常会找到许多拥有不同所有者的域名。因此,*.pro
的通配符证书将包含来自不同所有者的域名,这些域名最好不可能。