我购买了 *.example.com 的通配符证书。现在,我必须保护 *.subdomain.example.com。是否可以为我的通配符证书创建子证书?
如果是的话,我该怎么做?
不,这是不可能的。名称中的通配符仅反映单个标签,并且通配符只能位于最左边。因此
*.*.example.org
或 www.*.example.org
是不可能的。并且 *.example.org
既不会匹配 example.org
也不会匹配 www.subdomain.example.org
,只会匹配 subdomain.example.org
。
但是同一个证书中可以有多个通配符名称,即同一个证书中可以有
*.example.org
和 *.subdomain.example.org
。
使用单个通配符证书不可能保护多级子域。如果为 *.mydomain.tld 颁发通配符证书,则只能保护 *.mydomain.com 的一级子域。
要保护您的二级子域,您有两种选择。
为 *.sub1.mydomain.tld 购买另一个通配符证书。在这种情况下,您需要管理两个单独的通配符证书。
您可以使用多域通配符证书,您可以在其中添加最多 100 个多个域或子域。
例如,
它将保护您的多个域和多级子域,并减少您因多个证书管理而带来的麻烦。
根据7年前的文章https://www.digicert.com/news/2010-9-1-new-wildcard-features/https://web.archive.org/web/20190908131306/https ://www.digicert.com/news/2010-9-1-new-wildcard-features/ :
DigiCert Wildcard Plus 证书可以使用以下方式保护任何子域 主题备用名称 (SAN)。传统的通配符证书 对于 *.example.com 将仅保护以下一级子域 example.com 例如 mail.example.com。 DigiCert 的通配符 Plus 证书使用 SAN 来保护 example.com 的任何子域, 包括多级子域,例如 mail.internal.example.com。 有了这个新功能,所有子域都可以通过一个单一的保护 来自 DigiCert 的 Wildcard Plus 证书。基础域本身, example.com,作为 SAN 自动包含在每个 Wildcard Plus 中 证书以及,这增加了兼容性并保护 example.com 带或不带“www”。
不,您无法为通配符创建子证书。
-> 您的通配符证书适用于
*.mydomain.tld
,因此根据通配符 SSL 指南,您可以保护一级子域。意味着可以确保anything.mydomain.tld
。
-> 但是如果你想用它来保护
*.subdomain.mydomain.tld
,这是针对二级子域的,但是通配符证书不能保护二级子域。
解决方案
-> 您需要为您的二级子域名再购买一张通配符 SSL 证书
*.subdomain.mydomain.tld