我们是否能够在子域上创建通配符?

2025-07-03 03:30:02 14
  • 收藏
  • 管理

    嗨,

    当通配符证书可用时(我相信是2018年1月),是否可以在*.vic.domain.com这样的子域上创建通配符?

    具体内容如下。

    我的问题是,我们管理着数百个多层子域名,如下所示:

    Site1.vic.domain.com

    Site2.vic.domain.com

    Site20.nsw.domain.com

    Site21.nsw.domain.com

    每天都会添加新的子域,因此为每个子域创建证书是不切实际的。

    我们的Web服务器是Nginx,如果我可以为以下内容生成通配符证书,我可以覆盖所有站点的SSL:

    *.vic.domain.com

    *.nsw.domain.com

    *.qld.domain.com

    *.sa.domain.com

    *.act.domain.com

    *.wa.domain.com

    *.nt.domain.com

    这有可能吗?

    谢谢。

    布雷特·施,简而言之,我想是的

    通配符证书不会在“期间”内覆盖,因此,如您的示例所示,您可以使用7个通配符证书覆盖7个子域名。但您实际上可以将所有这些通配符条目合并到一个证书中。

    回想一下,每个证书最多可以包含100行(每行也可以是一个通配符条目),感谢您的及时回复

    一张证书就更好了!

    我当前正在使用为*.domain.com购买的通配符证书。问题是,证书适用于vic.domain.com这样的一级子域,但不适用于二级子域site1.vic.domain.com。

    然而,如果我可以用一个证书做所有的事情,我就不必在Nginx中创建多个虚拟服务器。

    再次感谢您。

    干杯Brett Sh,brettsh:

    当通配符证书可用时(我相信是2018年1月),是否可以在*.vic.domain.com这样的子域上创建通配符?

    就像@rg305说的(谢谢!)这将是可能的

    Brettsh:

    我们的Web服务器是Nginx,如果我可以为以下内容生成通配符证书,我可以覆盖所有站点的SSL:

    *.vic.domain.com

    *.nsw.domain.com

    *.qld.domain.com

    *.sa.domain.com

    *.act.domain.com

    *.wa.domain.com

    *.nt.domain.com

    这有可能吗?

    绝对一点儿没错。您将必须解决“vic.domain.com”、“nsw.domain.com”等的DNS-01挑战。

    Brettsh:

    我当前正在使用为*.domain.com购买的通配符证书。问题是,证书适用于vic.domain.com这样的一级子域,但不适用于二级子域site1.vic.domain.com。

    这是所有通配符证书的限制。您只能有一个*,只能作为最左边的标签,并且它只能覆盖一个子域级别。

    希望这会有帮助,我也有几个子域。首先,我不特别喜欢通配符SSL证书,如果可能的话,我宁愿避免这个问题,而且我觉得通配符SSL证书需要与通配符a/aaaa/cname dns记录匹配才能成为有效的…,我以为通配符只会在18年1月才被支持,确切地说,他是在问未来。他甚至说,通配符证书还没有出来,他说,当通配符证书可用时(我相信是2018年1月),是否有可能在*.vic.domain.com这样的子域上创建一个通配符?让我们加密只允许对通配符证书进行…身份验证的计划,但通配符记录是人工合成的,所以他们无法可靠地检测到它们,而且无论如何,没有通配符记录的通配符证书有很多用例。

    您可以通过发布包含Issuewild:;.,Aidan的CAA记录来阻止所有CA为您的域颁发通配符证书:

    2018年1月,我相信

    不,2月27日,啊,对不起,我的错误。但是,到2018年1月将有一个公开的测试API,Patches:

    您可以通过发布带有Issuewild:;的CAA记录来阻止所有CA为您的域颁发通配符证书。

    我甚至都没听说过CAA的唱片。市场上有如此多的新产品。无论如何,Site CAA记录生成器给了我以下数据

    Colmena.biz.在CAA 0期中,“letsEncrypt.org”

    Colmena.biz.在CAA 0中发布“;”

    浏览器或其他应用程序在连接到受SSL保护的服务器之前会检查这一点吗?

    浏览器或其他应用程序在连接到受SSL保护的服务器之前会检查这一点吗?

    CAA记录主要控制哪个CA可以为域颁发证书。

    例如,使用这些CAA记录,您现在不能从Comodo购买证书,因为CA规则将阻止他们颁发证书。

    不需要通过浏览器或其他客户端软件进行检查,因为遵守CAA记录是所有CA的强制要求。事实上,不能在浏览器上检查CAA记录:

    CAA浏览器检查客户端设备

    H…,_az:

    CAA记录主要控制哪个CA可以为域颁发证书。

    例如,使用这些CAA记录,您现在不能从Comodo购买证书,因为CA规则将阻止他们颁发证书。

    如果您遇到CA颁发应被CAA记录禁止的证书的反例,您可以将其报告给CA,如果您愿意,也可以报告给浏览器供应商的安全事件联系人。浏览器已表示有兴趣调查其信任的CA对证书的违规行为,并确保采取纠正措施。,_az:

    例如,使用这些CAA记录,您现在不能从Comodo购买证书,因为CA规则将阻止他们颁发证书。

    这就是所有这些愚蠢之处的主要原因,因为如果我要从科莫多购买证书,我将不得不更新CAA记录来授权科莫多为我的域颁发证书。

    否则,我们相信通常的大公司,土耳其人、犹太复国主义者、伊朗人、俄罗斯人、中国人和其他各种我们不认识的人为我们的域名颁发证书,而不是我们监视互联网上的伪造证书和TCP/IP误导。

    我们也不是监视互联网上伪造证书的人

    在某种程度上,这已经在发生,从2018年4月起,证书透明度将成为在Chrome中验证证书的强制性要求。

    上一页:我们是如何在产品发布77天内实现月收入6250美元的? 下一页:我们是否可以在与生产服务器不同的服务器上设置转移
    全部评论(0)