是否有可能获得一个SSL证书*.mysubdomain.example.com和mysubdomain.example.com,我需要因为我在我的专用服务器上使用了2个IP但现在我正在转向Azure,我们不能添加两个https端点。或其他天蓝色的解决方案我需要两个https端点
答案 0 :(得分:3)
您可以购买通配符SSL证书,以加密对* .example.com发出的请求。这适用于无限数量的第三级子域。要包括第二级(example.com)和第四级(subforthlev.subthirdlev.example.com)或更高的子域,您必须找到允许您包含多个主题备用名称(SAN)的证书颁发机构(CA)通配符证书。每个非第三级域都需要手动添加为SAN。
编辑:我已多次使用DigiCert's wildcard certificates并且我没有遇到没有安装根证书的浏览器或设备(请参阅他们的compatibility list)。 DigiCert通配符证书允许您保护无限数量的子域,无论域级别如何。摘自第一个链接:
DigiCert WildCard ssl证书是独一无二的,允许您保护域的任何子域,包括具有一个证书的多级子域。例如,您的WildCard for * .digicert.com com可能包含server1.sub.mail.digicert.com作为主题备用名称。
答案 1 :(得分:1)
如果您希望证书对*.mysubdomain.example.com和mysubdomain.example.com都有效,则需要为两者提供主题备用名称条目。
*.mysubdomain.example.com通配符表达式不涵盖mysubdomain.example.com。
这些规则在RFC 2818中定义,并在RFC 6125中阐明:
If the wildcard character is the only character of the left-most label in the presented identifier, the client SHOULD NOT compare against anything but the left-most label of the reference identifier (e.g., *.example.com would match foo.example.com but not bar.foo.example.com or example.com).
在实践中,这确实是大多数浏览器的反应。
但是,颁发*.mysubdomain.example.com通配符证书的CA很可能也会为mysubdomain.example.com添加SAN。请咨询您的CA.
答案 2 :(得分:1)
您可以使用多个SSL证书,并通过自动执行在计算机上安装证书的过程并将HTTPS绑定添加到IIS来将它们全部添加到同一个端点。
IIS 8(Windows Server 2012)支持SNI,它允许您向HTTPS绑定添加“hostheader”。
我是微软技术推广人员,我在以下网址发布了详细解释和示例“即插即用”源代码: http://www.vic.ms/microsoft/windows-azure/multiples-ssl-certificates-on-windows-azure-cloud-services/