ワイルドカードドメインとSANを使用して、単一の証明書で複数のドメインを保護することは可能ですか?
たとえば、1つのSAN両方を保護する証明書*.domain1.com and *.domain2.com
?
これまでに読んだすべての内容は、ワイルドカード証明書(* .domain1.com)OR a SAN certificate(Host1.domain1 .com、Host2.domain2.com)、ただし組み合わせではありません。これは正しいですか?
私はあなたがHTTP用の証明書を使用したいと思うと仮定します。この場合、 RFC 2818 を確認する必要があります。このRFCは、サブジェクトの別名が設定されていない場合にのみ共通名を使用することを明確に定義していますが、SAN拡張でワイルドカード証明書を許可します。したがって、複数の非ワイルドカードと証明書のSAN部分内のワイルドカード証明書。
ワイルドカードと非ワイルドカードを混在させる証明書の作成について、さまざまなCAが異なるポリシーを持っているようです:Thawteは、混在は不可能であると主張しています( wildcard-ssl-vs-san-certificate )DigiCertは、両方の世界のベストとしてそれを伝播します( http://www.digicert.com/ssl-support/wildcard-san-names。 htm )。したがって、ブラウザの制限ではなく、CAの制限であり、標準の制限ではないようです。
はい、確かにtechnically可能です。たとえば、Microsoft Outlook Web Accessのcertrtificate( https://Outlook.office365.com )はOutlook.comに発行されたもので、SANセクション:
DNS Name=Outlook.com
DNS Name=*.Outlook.com
DNS Name=office365.com
DNS Name=*.office365.com
DNS Name=*.live.com
DNS Name=*.internal.Outlook.com
DNS Name=*.Outlook.office365.com
DNS Name=Outlook.office.com
DNS Name=attachment.Outlook.office.net
DNS Name=attachment.Outlook.officeppe.net
もちろん、上で指摘したように、この証明書はMicrosoft自身が発行したものであるため、彼らは望みどおりのことができます。
一般に、ドメイン名またはURLを保護するには、1つの証明書のみが必要です。しかし、複数のドメインを保護する必要がある場合はどうでしょうか?予算と時間を犠牲にすることなく、どのようにセキュリティを管理できますか?
複数のドメインの保護
SAN(Subject Alternative Name)。とも呼ばれるワイルドカード証明書とユニファイドコミュニケーション証明書(UCC)の2つのアプローチで、複数のドメインを保護できます。SAN単一のSSL証明書で保護される追加のホスト名(サイト、IPアドレス、共通名など)を指定し、ワイルドカード証明書は単一のドメインと無制限の数の第1レベルのサブドメインをサポートできます。ワイルドカードと拡張機能として組み合わせて、証明書に機能を追加します。必要に応じて、これら2つの証明書をマルチドメインワイルドカードSSL証明書として組み合わせることができます。所有するすべてのドメインのSSL証明書。
続きを読む: - SAN/UCC証明書で複数のドメインを保護する
ワイルドカードとSAN certs。
ワイルドカード:
ワイルドカード証明書を使用すると、1つの証明書で無制限のサブドメインを保護できます。
たとえば、ドメイン名abc.comにワイルドカード証明書を使用でき、その証明書はmail.abc.com、ftp.abc.comおよびその他のサブドメインでも機能します。ワイルドカードは、証明書が* .abc.comにプロビジョニングされているという事実を指します。
拡張検証は許可されません。
SAN:
SAN certでは、単一の証明書で複数のドメイン名を保護できます。
たとえば、abc.comの証明書を取得し、さらにSAN値を追加して、abc.org、abc.net、さらにはabc.xyzを保護する同じ証明書を追加できます。
拡張検証を許可します。