SAN中的非TLD通配符,用于自签名ssl证书

时间:2015-08-13 21:36:16

标签: ssl openssl

我按照优秀的写作how-do-you-sign-certificate-signing-request-with-your-certification-authority来创建我自己的自签名证书。我为* .pro和* .pro.example.com

设置了SAN

如果我点击web02.pro.example.com,一切正常。

当我点击web02.pro时,它不起作用:

curl --cacert cacert.pem https://web02.pro/version.html
curl:(51)SSL:没有替代证书主题名称与目标主机名'web02.pro'

匹配

web02.pro和web02.pro.example.com都解析为同一台计算机,并且该计算机已设置为回答这两个名称。

我生成的证书显示:

        X509v3 Subject Alternative Name:   
            DNS:*.pro, DNS:*.pro.example.com  

对于自签名证书使用未读取的TLD是否有任何限制?

1 个答案:

答案 0 :(得分:2)

许多客户端不仅检查证书中所有名称的主机名,还仅允许不太宽松的通配符。这意味着,rank(dta$frequency) # ranks frequencies, increasing rank(-dta$frequency) # rank decreasing rank(-dta$frequency)[dta$length == 8] # rank of length 8: 3rd most common *.pro.example.com等通配符被视为有效,而仅指定顶级域*.example.com的通配符被视为无效,并且不会包含在验证过程中。

这样做的原因是,在顶级域名下方,您通常会找到许多拥有不同所有者的域名。因此,*.pro的通配符证书将包含来自不同所有者的域名,这些域名最好不可能。