Certificado comodín con prefijo

Question 1

Necesito tener un certificado comodín que reconozca un prefijo; así sería www.*.example.com. Eso significa que, www.one.example.com, www.two.example.com, www.three.example.cometc. funcionarían correctamente.

¿Es esto posible? ¿Existe un proveedor de certificados que pueda hacerlo?

No. De acuerdo con las reglas del foro de navegadores de CA,RFC2818yRFC6125sólo se permite un comodín y sólo en la etiqueta situada más a la izquierda. Lo que significa que no hay www.*.example.comni *.*.example.comtampoco. En su lugar, debe agregar todos los dominios que necesita en la parte del nombre alternativo del asunto del certificado, pero puede tener varias entradas y puede usar comodines, es decir *.sub1.example.com, *.sub2.example.cometc.

Este tipo de certificados con varios nombres comodín son comunes (consulte el certificado de Facebook), lo que significa que hay proveedores de certificados que ofrecen estos certificados. Pero costarán más que otros.

Answer

Necesito tener un certificado comodín que reconozca un prefijo; así sería www.*.example.com. Eso significa que, www.one.example.com, www.two.example.com, www.three.example.cometc. funcionarían correctamente.

¿Es esto posible? ¿Existe un proveedor de certificados que pueda hacerlo?

No. De acuerdo con las reglas del foro de navegadores de CA,RFC2818yRFC6125sólo se permite un comodín y sólo en la etiqueta situada más a la izquierda. Lo que significa que no hay www.*.example.comni *.*.example.comtampoco. En su lugar, debe agregar todos los dominios que necesita en la parte del nombre alternativo del asunto del certificado, pero puede tener varias entradas y puede usar comodines, es decir *.sub1.example.com, *.sub2.example.cometc.

Este tipo de certificados con varios nombres comodín son comunes (consulte el certificado de Facebook), lo que significa que hay proveedores de certificados que ofrecen estos certificados. Pero costarán más que otros.

Question 2

Cree un .cnfarchivo como el siguiente, que utilice con openssl req -new -out example.com.csr -key example.com.key -config example.com.cnf. Puede crear el archivo de claves usando

openssl genrsa -out example.com.key 4096

El example.com.cnfarchivo:

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[req_distinguished_name]
commonName = example.com

[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.2 = *.example.com

Answer

Cree un .cnfarchivo como el siguiente, que utilice con openssl req -new -out example.com.csr -key example.com.key -config example.com.cnf. Puede crear el archivo de claves usando

openssl genrsa -out example.com.key 4096

El example.com.cnfarchivo:

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[req_distinguished_name]
commonName = example.com

[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.2 = *.example.com

Question 3

Quizás necesites usar SubjectAltName.

Echa un vistazo a:http://wiki.cacert.org/FAQ/subjectAltName

Answer

Quizás necesites usar SubjectAltName.

Echa un vistazo a:http://wiki.cacert.org/FAQ/subjectAltName

Certificado comodín con prefijo

Respuesta1

Respuesta2

Respuesta3

información relacionada