Вы можете создать SSL-сертификат, используя *.domain.com в качестве имени.
Но, к сожалению, это не распространяетсяhttps://domain.com
Есть ли какое-нибудь решение этой проблемы?
решение1
Кажется, я припоминаю, что *.domain.com на самом деле нарушает RFC (хотя, думаю, жалуется только lynx :)
Создайте сертификат с domain.com в качестве CN и *.domain.com в subjectAltName:dNSNameполе имени — это работает.
Для openssl добавьте это в расширения:
subjectAltName = DNS:*.domain.com
решение2
К сожалению, вы не можете этого сделать. Правила обработки подстановочных знаков на поддоменах аналогичны правилам о куки для поддоменов.
www.domain.com matches *.domain.com
secure.domain.com matches *.domain.com
domain.com does not match *.domain.com
www.domain.com does not match domain.com
Для этого вам придется получить два сертификата, один для , *.domain.comа другой для domain.com. Вам нужно будет использовать два отдельных IP-адреса и vhosts для обработки этих доменов по отдельности.
решение3
В наши дни подстановочные знаки будут иметь *.domain.com и domain.com в поле альтернативного имени субъекта (SAN). Например, взгляните на подстановочный сертификат SSL quora.com
Ты увидишь
Альтернативные имена субъектов: *.quora.com, quora.com
решение4
Нет, потому что это совершенно разные пространства имен. Перенаправление tld также не является вариантом, потому что SSL — это транспортное шифрование, которое должно декодировать ssl, прежде чем, например, Apache сможет увидеть хост запроса, чтобы перенаправить его.
Также в качестве примечания: foo.bar.domain.com также недопустим для wildcard-сертификата (насколько я помню, Firefox — единственный, который это допускает).