很抱歉,如果重复的话,会四处戳戳,但找不到任何东西。
我有4个URL,我想使用相同的证书。
dev.myapp
qa.myapp
dr.myapp
myapp
我获得了通配符* myapp的证书。我正在开发人员中对此进行测试,但是这似乎不起作用,AWS告诉我通配符应为* .myapp
与此相关的问题。
1)我可以将现有证书更改为使用通配符* .myapp吗?但这可以在我的产品“ myapp”环境中使用吗?
2)是否正确的方法是使用两个通配符* myapp和* .myapp?如果可以将通配符添加到现有证书中,则会出现相同的问题。
答案 0 :(得分:1)
您不能更改已颁发的证书。没有人可以如果他们可以的话,整个系统将是不安全的。
您可能可以做的是让CA发行新的(某种程度上)不同的证书来替换有问题的证书。许多可能的大多数CA都具有执行此操作的条件,而无需重复身份和/或域“所有权”证明,并且无需支付额外费用(如果有),但是具体信息取决于CA以及有时您所购买的功能(您并未仔细确定) ,因此无法给出具体答案。
我还假设您提供的名称是伪造的,因为myapp
不是TLD,如果您不能控制它,那么任何人都无法控制后缀个顶级域名(TLD)。假设您的真实姓名更像是:
1 example.com
2 dev.example.com
3 qa.example.com
4 dr.example.com
,您是example.com
的“所有者”(或至少是控制者),则通配符证书*.example.com
匹配2-4,但不匹配1。没有通配符可匹配所有四个。
但是,SSL / TLS证书(包括HTTPS)不限于单个名称:它们支持SubjectAlternativeNames扩展名,该扩展名可以具有多个名称。这通常是SAN的缩写,也称为“多域”或在Microsoft世界中称为“ UCC”。在过去的几十年中,CA通常为此收取额外的费用,但是近年来,它已普遍包含在基本服务中。例如,如果您购买/请求www.example.com
的证书,那么今天的许多CA实际上会自动给您SAN=www.example.com,example.com
。 (确切地说,SAN=dnsName:www.example.com,dnsName:example.com
是因为SAN还可以执行其他与SSL / TLS / HTTPS不相关的事情。)
对于您而言,SAN=example.com,*.example.com
可以完成您想要的事情。 SAN=example.com,dev.example.com,qa.example.com,dr.example.com
也是如此,尽管这会将您的子域名“暴露”给监视和/或启动与您服务器的连接的任何人。请与您的CA联系,以查看他们是否会以这些形式之一向您颁发新证书。