접두사가 포함된 와일드카드 인증서를 생성할 수 있는지 궁금합니다.
나는 그것이 첫 번째 수준(예: , , 등) *.example.com의 모든 것을 다루겠지만 2개 수준이기 때문에 다루지 않을 것이라는 것을 알고 있습니다.one.example.comtwo.example.comthree-four.example.comanother.one.example.com
접두사를 인식하는 와일드카드 인증서가 필요합니다. 그래서 그럴 것입니다 www.*.example.com.
즉, www.one.example.com, www.two.example.com, www.three.example.com등이 모두 올바르게 작동한다는 의미입니다.
이것이 가능합니까? 이를 수행할 수 있는 인증서 공급자가 있습니까?
답변1
접두사를 인식하는 와일드카드 인증서가 필요합니다. 그래서 그럴 것입니다
www.*.example.com. 즉,www.one.example.com,www.two.example.com,www.three.example.com등이 모두 올바르게 작동한다는 의미입니다.
이것이 가능합니까? 이를 수행할 수 있는 인증서 공급자가 있습니까?
아니요. CA 브라우저 포럼의 규칙에 따르면,RFC2818그리고RFC6125와일드카드는 하나만 허용되며 가장 왼쪽 레이블에만 허용됩니다. 즉 www.*.example.com, 없거나 둘 중 하나가 없다는 뜻입니다 *.*.example.com. 대신 인증서의 주체 대체 이름 부분에 필요한 모든 도메인을 추가해야 하지만 여러 항목을 가질 수 있고 와일드카드(예: 등)를 *.sub1.example.com사용할 수 있습니다.*.sub2.example.com
여러 개의 와일드카드 이름을 가진 인증서는 일반적입니다(Facebook의 인증서 참조). 이는 이러한 인증서를 제공하는 인증서 공급자가 있음을 의미합니다. 그러나 그들은 다른 것보다 비용이 더 많이 듭니다.
답변2
.cnf와 함께 사용하는 다음과 같은 -file을 만듭니다 openssl req -new -out example.com.csr -key example.com.key -config example.com.cnf. 다음을 사용하여 키 파일을 만들 수 있습니다.
openssl genrsa -out example.com.key 4096
파일 example.com.cnf:
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
commonName = example.com
[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.2 = *.example.com
답변3
어쩌면 SubjectAltName을 사용해야 할 수도 있습니다.