外部ドメイン名と内部ドメイン名にはどのSSL証明書が必要ですか？

ここでは* .ac.atのワイルドカード証明書を取得しないと思います;）

両方のドメイン名を持つ証明書は、multidomain-certificateと呼ばれ、この場合はbgs.ac.atとbgschwechat.ac.atです。さらに、*bgs.ac.atおよび*bgschwechat.ac.atにはワイルドカード証明書が必要です。 Subject Alternative Namesを使用して、すべての名前を1つの証明書に含めることができます。

構成ファイルを使用して、OpenSSLでこのような証明書を生成できます。

openssl req -new -out bgschwechat.ac.at.csr -key bgschwechat.ac.at.key -config bgschwechat.ac.at.cnf

によって生成された既存のキーbgschwechat.ac.at.keyを使用する

openssl genrsa 4096 -out bgschwechat.ac.at.key

次のbgschwechat.ac.at.cnfを使用します。

[req]
distinguished_name = req_distinguished_name
default_bits           = 4096
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = bgschwechat.ac.at
DNS.2 = *.bgschwechat.ac.at
DNS.3 = bgs.ac.at
DNS.4 = *.bgs.ac.at

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
organizationalUnitName  = Organizational Unit Name (eg, section)
countryName_default = AT
stateOrProvinceName_default = Niederoesterreich
localityName_default = Schwechat
organizationalUnitName_default = BG Schwechat
commonName = Common Name (CN)
commonName_default = bgschwechat.ac.at
emailAddress_default = [email protected]

ここでは、2つの単純なドメイン証明書と2つのワイルドカードを支払う必要があります。したがって、内部で使用されているドメイン名の名前を変更する（またはHTTPを使用してリダイレクトする）方が間違いなく安価です。ワイルドカードの代わりに、すべてのサブドメイン（メール、wwwなど）を代替ドメインのリストに追加することもできます。

内部ドメインbgs.ac.atを保護したくない場合は、それを省略できます。

on「解決可能な外部」アドレスのみ？：すべてのCAは独自のルールを定義できます。ほとんどの場合、CAの場合と同様に、これはお金の問題です。通常、CAは解決できないアドレスに対して証明書を発行しません（追加料金を支払った場合のみ）。 bgs.ac.atは解決できないため、簡単に証明書を取得することはできません。内部でのみ使用される場合は、自己署名証明書を発行して、すべてのコンピューターに展開することもできます。

何かを購入する場所に関する推奨事項は、Serverfaultでは off-topic です。