Come creare un certificato SSL per più di un sottodominio?

Sto eseguendo un server "myserver.net", che possiede i sottodomini "a.myserver.net" e "b.myserver.net".

Quando crei certificati SSL (self-signed), devo crearne uno per each sottodominio, contenente il FQDN, anche se questi sottodomini sono solo vhost.

  • Richiedere un certificato client rilasciato da una specifica CA intermedia in Apache
  • Dettagli sul datetime esatto di scadenza di un certificato SSL?
  • Come scoprire quale server ha generato una CSR
  • La connessione all'URL utilizzando il client OpenSSL funziona, ma la curl non riesce
  • Roundcube & Postfix SMTP: routine SSL: SSL3_READ_BYTES: avvisi tlsv1 sconosciuti ca: s3_pkt.c
  • Spostamento di un certificato SSL
  • OpenSSL consente solo un "nome comune", che è il dominio in questione. C'è la possibilità di creare un certificato valido per tutti i sottodomini di un dominio?

    3 Solutions collect form web for “Come creare un certificato SSL per più di un sottodominio?”

    Sì, usa * .myserver.net come nome comune.

    Questo è chiamato cert di wildcard e ci sono un gran numero di howtos che trovano con questa parola chiave.

    Ecco uno di questi: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- certificato

    Aggiornamento: se si desidera che cert corrisponda anche al dominio di root (myserver.net), allora si dovrebbe utilizzare l'estensione Subject Alternative Name. Quando si genera cert usando openssh enter '* .myserver.net / CN = myserver.net' come Common Name.

    Compatibilmente è abbastanza buono , a less che tu non abbia un antico browser.

    Proprio come un FYI, c'è un altro tipo di certificato chiamato anche un certificato di comunicazione unificata. Una wildcard può essere pubblicata solo per *.domain.com ma un certificato UCC consente di elencare fino a 100 nomi di dominio completamente qualificati (FQDN) sotto qualsiasi dominio. La ragione principale per get uno di questi è che Microsoft non è troppo attento alle wildcards per cose come controller di dominio MS, Exchange, ecc.

    https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

    Un certificato di comunicazione unificata (UCC) è un certificato SSL che protegge più nomi di dominio e nomi di host multipli all'interno di un nome di dominio. Un UCC consente di proteggere un nome di dominio primario e fino a 99 ulteriori nomi alternativi di soggetti (SAN) in un unico certificato. Gli UCC sono ideali per Microsoft® Exchange Server 2007, Exchange Server 2010 e Microsoft Live® Communications Server.

    Gli UCC sono compatibili con hosting condiviso. Tuttavia, la sigla del sito e il certificato "Issued To" solo elenca il nome di dominio primario. Si prega di notare che tutti gli account di hosting secondario saranno elencati anche nel certificato, quindi se non si desidera che i siti si visualizzino "connessi" tra di loro, non si dovrebbe utilizzare questo tipo di certificato.

    Il principale inconveniente di UCC è che bisogna elencare tutti i tuoi domini in avanti (i wildcard non lo richiedono). Se l'elenco cambia, dovrai get un nuovo certificato. Incidentalmente, Namecheap (solo uno di cui lo so) offre un UCC esteso di validation (si paga per dominio, il che significa che un certificato di 100 domini è MOLTO costoso), che è l'unico modo per avere un certificato EV per più di un dominio , poiché nessuno offre EV Wildcards.

    È una domanda valida. Purtroppo da quello che capisco i protocolli non ha mai inteso il proprietario di un dominio per poter firmare i certificati per i soli sottodomini.

    Sei un CA per niente o niente. Non vi è alcuna limitazione in ambito quando sei una CA.

    Stupido ma è così. Basta acquistare un certificato separato per each singolo dominio che possiedi $ $ $, proprio a each singolo, quindi non preoccupatevi di cercare i dispositivi embedded che vendi.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.