プレフィックス付きのワイルドカード証明書を作成できるかどうか疑問に思っています。
*.example.com最初のレベルのもの (例: one.example.com、、two.example.comなど) はすべてカバーされることはわかっていますが、 2 つのレベルがあるためthree-four.example.comカバーされません。another.one.example.com
プレフィックスを認識するワイルドカード証明書が必要なので、次のようになりますwww.*.example.com。
つまり、、、www.one.example.comなどwww.two.example.comはwww.three.example.comすべて正常に動作します。
これは可能ですか? また、これを実行できる証明書プロバイダーはありますか?
答え1
プレフィックスを認識するワイルドカード証明書が必要です
www.*.example.com。つまり、www.one.example.com、www.two.example.com、www.three.example.comなどはすべて正常に動作します。
これは可能ですか? また、これを実行できる証明書プロバイダーはありますか?
いいえ。CAブラウザフォーラムの規則によれば、RFC2818そしてRFC6125ワイルドカードは 1 つだけ許可され、一番左のラベルにのみ使用できます。つまり、 と は存在しませwww.*.example.comん。代わりに、証明書のサブジェクト代替名の部分に必要なすべてのドメインを追加する必要がありますが、複数のエントリと を持つことができ、ワイルドカード (など)を*.*.example.com使用できます。*.sub1.example.com*.sub2.example.com
複数のワイルドカード名を持つこのような証明書は一般的です (Facebook の証明書を参照)。つまり、これらの証明書を提供する証明書プロバイダーが存在するということです。ただし、他の証明書よりもコストが高くなります。
答え2
.cnfで使用する次のようなファイルを作成しますopenssl req -new -out example.com.csr -key example.com.key -config example.com.cnf。キーファイルは次のように作成できます。
openssl genrsa -out example.com.key 4096
ファイルexample.com.cnf:
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
commonName = example.com
[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.2 = *.example.com
答え3
おそらく、SubjectAltName を使用する必要があるでしょう。