是否可以使用通配符SAN证书？

Question

是否可以使用通配符SAN证书？

是否可以使用通配符域和SAN使用单个证书保护多个域？

例如,一个SAN证书可以保护两者*.domain1.com and *.domain2.com吗？

到目前为止,我所阅读的所有内容似乎都表明您可以拥有通配符证书(*.domain1.com)或SAN证书(host1.domain1.com,host2.domain2.com),但不能组合使用.它是否正确？

Answer 1

是的,这在技术上肯定是可能的.例如,Microsoft Outlook Web Access(https://outlook.office365.com)的cetrtificate 发布到outlook.com,并在SAN部分中包含通配符和非通配符名称的组合:

DNS Name=outlook.com
DNS Name=*.outlook.com
DNS Name=office365.com
DNS Name=*.office365.com
DNS Name=*.live.com
DNS Name=*.internal.outlook.com
DNS Name=*.outlook.office365.com
DNS Name=outlook.office.com
DNS Name=attachment.outlook.office.net
DNS Name=attachment.outlook.officeppe.net

Run Code Online (Sandbox Code Playgroud)

当然,正如上面所指出的,这个证书是微软自己发布的,所以他们几乎可以做他们想要的.

你可以看到这些像'true | openssl s_client -connect outlook.office365.com:443 | openssl x509 -noout -text | grep -B1 DNS:`(改编自http://stackoverflow.com/a/13128918/1695680) (5认同)
对于任何寻找 powershell 命令来完成此操作的人来说，它看起来像这样：`New-SelfSignedCertificate -Subject *.my.domain -DnsName my.domain, *.my.domain -CertStoreLocation Cert:\LocalMachine\My -NotAfter (Get-日期).AddYears(10)` (2认同)

Answer 2

Ste*_*ich 20

我假设你使用想要使用HTTP证书.在这种情况下,您需要查看RFC 2818.此RFC明确定义只应在未配置主题备用名称的情况下使用通用名称,但它允许SAN扩展中的通配符证书.因此,应该可以在证书的SAN部分中组合多个非通配符和通配符证书.

看起来各种CA有关于创建混合通配符和非通配符的证书的不同策略:虽然Thawte认为混合是不可能的(https://community.thawte.com/blog-posts/difference-between-wildcard-ssl-vs -san-certificate)DigiCert将其宣传为两全其美(http://www.digicert.com/ssl-support/wildcard-san-names.htm).所以它似乎更多是CA的限制而不是浏览器的限制,绝对不是标准.

这是完全可能的.我们现在正在使用一个.你可以使用OpenSSL`openssl s_client -connect api.smartystreets.com:443`来查看它.在Google上搜索"Comodo Positive Multi-Domain Wildcard SSL". (3认同)
对于看到这个答案的其他人来说，可能值得注意的是，DigiCert 的产品*不是*多通配符 - 他们提供单个证书，例如 *.subdomain1.example.org 和 test.subdomain2.example.org，但他们确实这样做不在单个证书上提供 *.subdomain1.example.org 和 *.subdomain2.example.org (2认同)

归档时间：	12 年前
查看次数：	34772 次
最近记录：	6 年，11 月前