どの SSL 証明書が外部ドメイン名と内部ドメイン名をサポートしますか?

ここでは *.ac.at のワイルドカード証明書は取得されないと思います ;)

両方のドメイン名を持つ証明書はマルチドメイン証明書、あなたの場合は、bgs.ac.atさらにbgschwechat.ac.at必要ですワイルドカード証明書*.bgs.ac.atとの場合*.bgschwechat.ac.at。すべての名前を1つの証明書に含めるには、件名の別名。

このような証明書は、設定ファイルを使用して OpenSSL で生成できます。

openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf

既存のキーを使用しbgschwechat.ac.at.keyて

openssl genrsa 4096 -out bgschwechat.ac.at.key

そして以下を使用しますbgschwechat.ac.at.cnf:

[req]
distinguished_name = req_distinguished_name
default_bits           = 4096
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName  = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]

ここでは、2 つのシンプルなドメイン証明書と 2 つのワイルドカードを支払う必要があります。したがって、内部で使用されているドメイン名を変更する (または HTTP を使用してリダイレクトする) 方が確実に安価です。ワイルドカードの代わりに、すべてのサブドメイン (メール、www など) を代替ドメインのリストに追加することもできます。

内部ドメインを保護したくない場合はbgs.ac.at、省略できます。

---

の上「解決可能な外部」アドレスのみですか?: 各 CA は独自のルールを定義できます。ほとんどの場合、CA ではいつもそうであるように、それはお金の問題です。通常、CA は解決できないアドレスに対して証明書を発行しません (追加料金を支払った場合のみ)。bgs.ac.at は解決できないため、証明書を簡単に取得することはできません。内部でのみ使用される場合は、自己署名証明書を発行して、それを各コンピューターに展開することもできます。

どこで何かを買うべきかの推奨はオフトピックServerfault で。