答案1
我似乎記得 *.domain.com 實際上違反了 RFC(但我認為只有 lynx 會抱怨:)
建立一個證書,其中 CN 為 domain.com,subjectAltName:dNSName名稱欄位中為 *.domain.com - 有效。
對於 openssl,將其添加到擴充功能中:
subjectAltName = DNS:*.domain.com
答案2
不幸的是你不能這樣做。處理子網域通配符的規則與處理子網域 cookie 的規則類似。
www.domain.com matches *.domain.com
secure.domain.com matches *.domain.com
domain.com does not match *.domain.com
www.domain.com does not match domain.com
要處理此問題,您必須獲得兩張證書,一張用於,*.domain.com另一張用於domain.com.您將需要使用兩個單獨的 IP 位址和虛擬主機,兩個分別處理這些網域。
答案3
如今,通配符的主題備用名稱欄位 (SAN) 中將包含 *.domain.com 和 domain.com。例如,請看一下 quora.com 的通配符 SSL 憑證
你會看見
主題備用名稱:*.quora.com、quora.com
答案4
不,因為它們是完全不同的名稱空間。重定向 tld 也不是一個選項,因為 SSL 是一種傳輸加密,它必須在 apache 之前解碼 ssl,例如,甚至可以看到請求主機來重定向它。
另請注意:foo.bar.domain.com 對於通配符憑證也無效(記憶體中的 firefox 是唯一允許這樣做的憑證。