我们有* .domain.com的通配符ssl证书,并且有一个sub1.sub2.domain.com的网站
Mac OS上的safari 4.0.4弹出证书错误(大概是因为通配符解释),而Windows上的safari 4则没有。
ie ie8行为充其量是混合的,有些ie8不显示证书错误,有些则没有。
在Safari和IE上导致这种奇怪行为的原因是什么?
答案 0 :(得分:177)
* .example.net 的通配符SSL证书将匹配 sub.example.net 但 sub.sub.example.net
来自RFC 2818:
使用指定的匹配规则执行匹配 RFC2459。如果存在多个给定类型的标识 证书(例如,多个dNSName名称,任何一个匹配 该集合被认为是可接受的。)名称可能包含通配符 字符
*,被认为与任何单个域名匹配 组件或组件片段。例如,*.a.com匹配foo.a.com但是 不是bar.foo.a.com。f*.com匹配foo.com但不匹配bar.com。
答案 1 :(得分:57)
如果您需要包含* .domain.com网站的通配符证书,并且还需要使用sub1.sub2.domain.com或其他域名* .domain2.com,您可以使用单个通配符证书来解决这个问题。称为每个其他子子域的主题备用名称(SAN)扩展。 SAN证书不仅适用于多个特定主机名,也可以为通配符条目创建。
例如,* .domain.com,sub1.sub2.domain.com和* .domain2.com的公用名称为* .domain.com,然后您将附加* .domain2的主题备用名称.com和* .sub2.domain.com。它可能取决于证书颁发机构如何向您收取(或不收取)证书的费用,但有一些可用的服务。此外,SAN支持在Web浏览器领域非常普遍。这个用途的最好的现实世界的例子,它是谷歌的SSL证书。打开谷歌并查看其SSL证书,您将看到它适用于* .google.com,* .youtube.com,* .gmail.com以及其他更多列表作为主题备用名称。
答案 2 :(得分:14)
通配符仅应用于您域的第一部分(从左侧)。因此,您需要* .sub2.domain.com
的证书如果你的意思是你有sub1.domain.com和sub2.domain.com,那么它应该有效。