Wildcard-Zertifikat mit Präfix

Question 1

Ich brauche ein Platzhalterzertifikat, das ein Präfix erkennt. Es wäre also www.*.example.com. Das bedeutet, www.one.example.com, www.two.example.com, www.three.example.com, usw. würden alle korrekt funktionieren.

Ist dies möglich und gibt es einen Zertifikatsanbieter, der dies kann?

Nein. Gemäß den Regeln des CA-BrowserforumsRFC2818UndRFC6125nur ein Platzhalter ist zulässig und nur im ganz linken Label. Das heißt, es gibt www.*.example.comweder *.*.example.comnoch. Sie müssen stattdessen alle Domänen hinzufügen, die Sie im Teil mit dem alternativen Antragstellernamen des Zertifikats benötigen, aber Sie können mehrere Einträge haben und Platzhalter verwenden, z. *.sub1.example.comB. *.sub2.example.comusw.

Solche Zertifikate mit mehreren Platzhalternamen sind üblich (siehe das Zertifikat für Facebook), was bedeutet, dass es Zertifikatsanbieter gibt, die diese Zertifikate anbieten. Sie kosten jedoch mehr als andere.

Answer

Ich brauche ein Platzhalterzertifikat, das ein Präfix erkennt. Es wäre also www.*.example.com. Das bedeutet, www.one.example.com, www.two.example.com, www.three.example.com, usw. würden alle korrekt funktionieren.

Ist dies möglich und gibt es einen Zertifikatsanbieter, der dies kann?

Nein. Gemäß den Regeln des CA-BrowserforumsRFC2818UndRFC6125nur ein Platzhalter ist zulässig und nur im ganz linken Label. Das heißt, es gibt www.*.example.comweder *.*.example.comnoch. Sie müssen stattdessen alle Domänen hinzufügen, die Sie im Teil mit dem alternativen Antragstellernamen des Zertifikats benötigen, aber Sie können mehrere Einträge haben und Platzhalter verwenden, z. *.sub1.example.comB. *.sub2.example.comusw.

Solche Zertifikate mit mehreren Platzhalternamen sind üblich (siehe das Zertifikat für Facebook), was bedeutet, dass es Zertifikatsanbieter gibt, die diese Zertifikate anbieten. Sie kosten jedoch mehr als andere.

Question 2

Erstellen Sie eine .cnf-Datei wie die folgende, die Sie mit verwenden openssl req -new -out example.com.csr -key example.com.key -config example.com.cnf. Sie können die Schlüsseldatei erstellen mit

openssl genrsa -out example.com.key 4096

Die example.com.cnfDatei:

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[req_distinguished_name]
commonName = example.com

[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.2 = *.example.com

Answer

Erstellen Sie eine .cnf-Datei wie die folgende, die Sie mit verwenden openssl req -new -out example.com.csr -key example.com.key -config example.com.cnf. Sie können die Schlüsseldatei erstellen mit

openssl genrsa -out example.com.key 4096

Die example.com.cnfDatei:

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[req_distinguished_name]
commonName = example.com

[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.2 = *.example.com

Question 3

Vielleicht müssen Sie SubjectAltName verwenden.

Schauen Sie sich Folgendes an:http://wiki.cacert.org/FAQ/subjectAltName

Answer

Vielleicht müssen Sie SubjectAltName verwenden.

Schauen Sie sich Folgendes an:http://wiki.cacert.org/FAQ/subjectAltName

Wildcard-Zertifikat mit Präfix

Antwort1

Antwort2

Antwort3

verwandte Informationen