web-dev-qa-db-ja.com

サブドメイン用に2つ目のワイルドカード証明書を購入する必要がありますか?

*.mycompany.comのワイルドカード証明書はすでにあります。私たちのネットワークには、内部でのみ到達可能なホストがあります。それらはすべてinternal.mycompany.comサブドメインに属しています。ワイルドカード証明書を展開したホスト名server.internal.mycompany.comのプライベートサーバーがあります。

Webサーバーにアクセスすると、ホスト名の不一致エラーが発生します。 *.internal.mycompany.com用の別のワイルドカード証明書を取得する必要がありますか、それとも、ブラウザーでエラーが発生することなく、すべてのサブドメインとそのサブドメインにワイルドカード証明書を使用する別の(無料!)方法はありますか?

8

はい、別の証明書を購入する必要があります*

アスタリスクのワイルドカード文字*は、解決されたFQDNの1つのラベルにのみ一致します。

この動作は、DNSラベルの一致とアスタリスクラベルへのフォールバックの説明に RFC 4592セクション3. を反映しています。

.internal.mycompany.com.名前空間の下で単一のエンドポイントのみを保護する必要がある場合は、ワイルドカード証明書は必要ありません。通常の単一サブジェクト証明書を購入するだけです。


*)公開証明書発行のためのCA /ブラウザフォーラムのベースライン要件許可します証明書のSAN=拡張内のワイルドカード名なので、技術的には、単一のワイルドカード証明書が複数のサブドメインでのワイルドカード照合に有効である可能性がありますが、このタイプの製品が既製で宣伝されているのを見たことがないので、明らかに高価だと思います

15

WildCard SSL Certificateセキュリティプロトコルによると、domainname.comやdomain.domainname.comなどのメインドメインも含む第1レベルドメインの保護のみが許可されます。無制限のサブドメインセキュリティを許可しますが、サブドメインは第1レベルドメインでなければなりません。

domain.domain.domainname.comの形式のサブドメイン名を保護する場合は、技術的には第2レベルのサブドメイン名と呼ばれ、特にそのサブドメイン名のセキュリティ用に別のワイルドカードSSL証明書が必要です。

3
Jake Adley

ワイルドカードSSL証明書は、単一レベルのサブドメインのみを保護できます。 * .mycompany.comに対して発行されたワイルドカードSSLがある場合、mycompany.comとそのすべてのサブドメインが保護されます。

要件が第2レベルのサブドメインを保護することである場合は、*。internal.mycompany.comのCSRを作成する必要があります(この条件では、mycompany.comはブラウザーでドメイン名の不一致の警告を受け取るため、標準のSSLを購入する必要がありますmycompany.comの証明書)

単一のマルチドメイン証明書でWebサイト全体を保護することが可能です。マルチドメインSSL証明書を使用すると、複数のWebサイト、サブドメイン、マルチレベルサブドメインを保護できます。

  • mycompany.com
  • mycompany.co.uk
  • internal.mycompany.com
  • * .mycomapany.com
  • server.internal.mycompany.com。anycompany.anytld

マルチドメインSSL証明書はSAN SSL証明書とも呼ばれ、各条件を個別のSAN名前としてカウントします。

Mycomapny.comおよび* .internal.mycompany.comの下にサブドメインがいくつ作成されているかを評価する必要があります。これは、適切な証明書製品の選択に役立ちます。

ここですでに説明した詳細シナリオ- 第2レベルのサブドメインのワイルドカードSSL証明書

1
Jason Parms