Certificado curinga com prefixo

Certificado curinga com prefixo

Gostaria de saber se é possível criar um certificado curinga com um prefixo.

Eu sei que isso *.example.comcobrirá qualquer coisa no primeiro nível (por exemplo, one.example.com, two.example.com, three-four.example.com, etc), mas não cobrirá another.one.example.comporque são 2 níveis.

Preciso ter um certificado curinga que reconheça um prefixo; assim seria www.*.example.com.

Isso significa que , www.one.example.com, www.two.example.com, www.three.example.cometc funcionariam corretamente.

Isso é possível e existe um provedor de certificados que possa fazer isso?

Responder1

Preciso ter um certificado curinga que reconheça um prefixo; assim seria www.*.example.com. Isso significa que , www.one.example.com, www.two.example.com, www.three.example.cometc funcionariam corretamente.

Isso é possível e existe um provedor de certificados que possa fazer isso?

Não. De acordo com as regras do fórum de navegadores da CA,RFC2818eRFC6125apenas um curinga é permitido e apenas no rótulo mais à esquerda. O que significa que não existe www.*.example.come *.*.example.comtambém não. Em vez disso, você precisa adicionar todos os domínios necessários na parte do nome alternativo do assunto do certificado, mas você pode ter várias entradas e pode usar curingas, ou seja *.sub1.example.com, *.sub2.example.cometc.

Esses certificados com vários nomes curinga são comuns (veja o certificado do Facebook), o que significa que existem provedores de certificados que oferecem esses certificados. Mas eles custarão mais do que outros.

Responder2

Crie um .cnf-file como o seguinte, que você usa com openssl req -new -out example.com.csr -key example.com.key -config example.com.cnf. Você pode criar o arquivo-chave usando

openssl genrsa -out example.com.key 4096

O example.com.cnfarquivo:

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[req_distinguished_name]
commonName = example.com

[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
DNS.2 = *.example.com

Responder3

Talvez você precise usar SubjectAltName.

Dê uma olhada em:http://wiki.cacert.org/FAQ/subjectAltName

informação relacionada