现有的https证书添加通配符

时间:2018-07-26 20:13:50

标签: https certificate

很抱歉,如果重复的话,会四处戳戳,但找不到任何东西。

我有4个URL,我想使用相同的证书。

dev.myapp    
qa.myapp    
dr.myapp    
myapp

我获得了通配符* myapp的证书。我正在开发人员中对此进行测试,但是这似乎不起作用,AWS告诉我通配符应为* .myapp

与此相关的问题。

1)我可以将现有证书更改为使用通配符* .myapp吗?但这可以在我的产品“ myapp”环境中使用吗?
2)是否正确的方法是使用两个通配符* myapp和* .myapp?如果可以将通配符添加到现有证书中,则会出现相同的问题。

1 个答案:

答案 0 :(得分:1)

您不能更改已颁发的证书。没有人可以如果他们可以的话,整个系统将是不安全的。

您可能可以做的是让CA发行新的(某种程度上)不同的证书来替换有问题的证书。许多可能的大多数CA都具有执行此操作的条件,而无需重复身份和/或域“所有权”证明,并且无需支付额外费用(如果有),但是具体信息取决于CA以及有时您所购买的功能(您并未仔细确定) ,因此无法给出具体答案。

我还假设您提供的名称是伪造的,因为myapp不是TLD,如果您不能控制它,那么任何人都无法控制后缀个顶级域名(TLD)。假设您的真实姓名更像是:

1     example.com
2 dev.example.com
3  qa.example.com
4  dr.example.com

,您是example.com的“所有者”(或至少是控制者),则通配符证书*.example.com匹配2-4,但不匹配1。没有通配符可匹配所有四个。

但是,SSL / TLS证书(包括HTTPS)不限于单个名称:它们支持SubjectAlternativeNames扩展名,该扩展名可以具有多个名称。这通常是SAN的缩写,也称为“多域”或在Microsoft世界中称为“ UCC”。在过去的几十年中,CA通常为此收取额外的费用,但是近年来,它已普遍包含在基本服务中。例如,如果您购买/请求www.example.com的证书,那么今天的许多CA实际上会自动给您SAN=www.example.com,example.com。 (确切地说,SAN=dnsName:www.example.com,dnsName:example.com是因为SAN还可以执行其他与SSL / TLS / HTTPS不相关的事情。)

对于您而言,SAN=example.com,*.example.com可以完成您想要的事情。 SAN=example.com,dev.example.com,qa.example.com,dr.example.com也是如此,尽管这会将您的子域名“暴露”给监视和/或启动与您服务器的连接的任何人。请与您的CA联系,以查看他们是否会以这些形式之一向您颁发新证书。