我使用组织中多个业务部门使用的Web应用程序。使用常规网址http://app/访问该应用程序,但某些单元使用商业友好网址,例如http://bu1/,http://bu2/等
该应用程序很快将与门户网站集成,要求将其配置为使用SSL,我建议使用完全限定的域名申请证书,因此我选择app.company.com。证书已安装在服务器上,用户使用https://app.company.com/访问该证书。
但我也希望他们能够使用https://app/或https://bu1/或http://bu1/等。我不清楚如何做到这一点,我想我有以下内容选项:
非常感谢任何建议!
答案 0 :(得分:0)
SSL证书提供商除非列出您通过注册商拥有的完全限定域名,否则不会分发证书,因此您将无法获得https://app/的签名证书。
在这种情况下,如果您真的希望用户能够通过https://app/访问您的应用,您需要做的是创建自己的自签名SSL证书,然后将证书插入浏览器的可信任公司每台计算机上的证书列表。
答案 1 :(得分:0)
对于此用例,您应在公司内部设置证书颁发机构,并使用您自己的CA颁发内部域的证书。您必须确保公司内的计算机自动信任您的根CA证书。
此外,您不能再购买内部域名/保留IP地址的SSL证书。
来自Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.0 (强调是我的):
9.2.1主题备选名称扩展
证书字段:扩展名:subjectAltName
必填/可选:必需
内容:此扩展程序必须至少包含一个条目。每个条目必须是包含完全限定域名的dNSName或包含服务器IP地址的iPAddress。 CA必须确认申请人控制完全合格的域名或IP地址,或者已经授权域名注册人或IP地址受让人(视情况而定)使用该域名或IP地址。
允许使用通配符FQDN。
截至这些要求的生效日期,在颁发包含subjectAlternativeName扩展名的Subject证书或包含保留IP地址或内部服务器名称的Subject commonName字段之前,CA应通知申请人使用此类证书已被CA /浏览器论坛弃用,并且该做法将在2016年10月之前消除。同样,自生效日期起,CA不会颁发有效期至2015年11月1日的证书, subjectAlternativeName扩展名或Subject commonName字段,包含保留的IP地址或内部服务器名称。自2016年10月1日起,CA应撤销所有未过期的证书,其subjectAlternativeName扩展名或Subject commonName字段包含保留的IP地址或内部服务器名称。地址或内部服务器名称。