Вы можете сделать сертификат SSL, используя * .domain.com в качестве имени.
Но, к сожалению, это не распространяется на https://domain.com
Есть ли какое-то решение для этого?
Вы можете сделать сертификат SSL, используя * .domain.com в качестве имени.
Но, к сожалению, это не распространяется на https://domain.com
Есть ли какое-то решение для этого?
Ответы:
Кажется, я вспоминаю, что * .domain.com на самом деле нарушает RFC (я думаю, что только lynx жалуется, хотя :)
Создайте сертификат с domain.com в качестве CN и * .domain.com в subjectAltName:dNSName
поле имен - это работает.
Для openssl добавьте это в расширения:
subjectAltName = DNS:*.domain.com
К сожалению, вы не можете сделать это. Правила обработки подстановочных знаков в поддоменах аналогичны правилам использования файлов cookie для поддоменов.
www.domain.com matches *.domain.com
secure.domain.com matches *.domain.com
domain.com does not match *.domain.com
www.domain.com does not match domain.com
Для этого вам нужно получить два сертификата, один для, *.domain.com
а другой для domain.com
. Вам нужно будет использовать два отдельных IP-адреса, и два хоста будут обрабатывать эти домены отдельно.
В эти дни подстановочные знаки будут содержать * .domain.com и domain.com в поле альтернативного имени субъекта (SAN). Например, взгляните на подстановочный SSL-сертификат quora.com
Ты увидишь
Альтернативные имена субъектов: * .quora.com, quora.com
Возможно, не тот ответ, который вы ищете, но я на 99% уверен, что нет пути. Перенаправьте http://domain.com/ на https://www.domain.com/ и просто используйте * .domain.com в качестве сертификата SSL. Это далеко от совершенства, но, надеюсь, должно охватывать большинство интересующих вас случаев. Единственная альтернатива - использовать разные IP-адреса для domain.com и www.domain.com. Тогда вы можете использовать разные сертификаты для каждого IP.
Нет, потому что они совершенно разные пространства имен. перенаправление tld также не вариант, поскольку SSL является транспортным шифрованием, поэтому он должен декодировать ssl, прежде чем apache, например, сможет даже увидеть узел запроса для его перенаправления.
Также в качестве примечания: foo.bar.domain.com также недопустим для сертификата с подстановочными знаками (firefox из памяти - единственный, который позволяет это.