哪種 SSL 憑證支援外部和內部網域名稱？

我假設您不會在這裡獲得 *.ac.at 的通配符證書；）

具有兩個網域的憑證稱為多域證書，在你的情況下bgs.ac.at和bgschwechat.ac.at。另外你還需要通配符證書對於*.bgs.ac.at和*.bgschwechat.ac.at。所有名稱都可以在一張憑證中使用主題替代名稱。

您可以使用設定檔透過 OpenSSL 產生此類憑證：

openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf

bgschwechat.ac.at.key使用由產生的現有金鑰

openssl genrsa 4096 -out bgschwechat.ac.at.key

並使用以下內容bgschwechat.ac.at.cnf：

[req]
distinguished_name = req_distinguished_name
default_bits           = 4096
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName  = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]

您必須在這裡支付 2 個簡單網域憑證以及 2 個通配符。因此，重新命名內部使用的網域名稱（或使用 HTTP 重定向）肯定更便宜。您也可以將所有子網域（mail、www 等）新增至備用網域清單中，而不是使用萬用字元。

如果您不想保護內部網域bgs.ac.at，則可以將其忽略。

---

在只有「外部可解析」位址嗎？：每個 CA 都可以定義自己的規則。在大多數情況下，這是一個錢的問題，對 CA 來說總是如此。通常，CA 不會為無法解析的地址頒發憑證（僅當您支付更多費用時）。由於 bgs.ac.at 不可解析，因此您不會輕易取得憑證。如果僅在內部使用，您還可以頒發自簽名憑證並將其部署在每台電腦上。

關於在哪裡買東西的建議是無關關於伺服器故障。