* .domain.comとdomain.comに同じワイルドカード証明書を使用できますか
とにかく、*。domain.comは実際にはRFCに違反していることを思い出しているようです(ただし、lynxだけが不平を言っていると思います:)
CNとしてdomain.comを使用し、subjectAltName:dNSNameの名前フィールドに* .domain.comを使用して証明書を作成します-機能します。
Opensslの場合、これを拡張機能に追加します。
subjectAltName = DNS:*.domain.com
残念ながらこれはできません。サブドメインでのワイルドカードの処理に関するルールは、サブドメインのCookieに関するルールと同様です。
www.domain.com matches *.domain.com
secure.domain.com matches *.domain.com
domain.com does not match *.domain.com
www.domain.com does not match domain.com
これを処理するには、*.domain.com用とdomain.com用の2つの証明書を取得する必要があります。 2つの個別のIPアドレスを使用する必要があり、vhostsはこれらのドメインを個別に処理します。
最近のワイルドカードでは、サブジェクトの別名フィールド(SAN)に* .domain.comとdomain.comがあります。たとえば、quora.comのワイルドカードSSL証明書を見てください。
あなたは見るでしょう
サブジェクトの別名:* .quora.com、quora.com
おそらくあなたが探している答えではありませんが、私には99%確実に方法がないと確信しています。 http://domain.com/ を https://www.domain.com/ にリダイレクトし、SSL証明書として* .domain.comを使用します。それは完璧とはほど遠いですが、うまくいけばあなたが興味を持っているほとんどのケースをカバーするでしょう。次に、IPごとに異なる証明書を使用できます。
いいえ、名前空間がまったく異なるためです。 SSLはトランスポート暗号化であるため、tldのリダイレクトもオプションではありません。たとえば、Apacheがリダイレクトする要求Hostを確認する前に、sslをデコードする必要があります。
また、補足として、foo.bar.domain.comはワイルドカード証明書にも無効です(メモリからのFirefoxのみがそれを許可します。