是否可以使用通配符域和 SAN 通过单个证书来保护多个域?
例如,一个 SAN 证书可以同时保护
*.domain1.com and *.domain2.com到目前为止,我读到的所有内容似乎都表明您可以拥有通配符证书 (*.domain1.com) 或 SAN 证书(host1.domain1.com、host2.domain2.com),但不能同时拥有两者。这是正确的吗?
是的,这在技术上当然是可能的。例如,Microsoft Outlook Web Access (https://outlook.office365.com) 的证书颁发给 Outlook.com,并且在 SAN 部分中包含通配符和非通配符名称的组合:
DNS Name=outlook.com
DNS Name=*.outlook.com
DNS Name=office365.com
DNS Name=*.office365.com
DNS Name=*.live.com
DNS Name=*.internal.outlook.com
DNS Name=*.outlook.office365.com
DNS Name=outlook.office.com
DNS Name=attachment.outlook.office.net
DNS Name=attachment.outlook.officeppe.net
当然,正如上面指出的,这个证书是微软自己颁发的,所以他们几乎可以做他们想做的事。
。此 RFC 明确定义只有在未配置主题备用名称的情况下才应使用通用名称,但它允许在 SAN 扩展中使用通配符证书。因此应该可以在证书的 SAN 部分中组合多个非通配符和通配符证书。 看起来各个 CA 对于创建混合通配符和非通配符的证书有不同的政策:而 Thawte 认为混合是不可能的 (
https://community.thawte.com/blog-posts/difference- Between-wildcard-ssl -vs-san-certificate)DigiCert 将其传播为两全其美(http://www.digicert.com/ssl-support/wildcard-san-names.htm)。所以这似乎更多是 CA 的限制,而不是浏览器的限制,而且绝对不是标准的限制。
通配符:
通配符证书允许使用单个证书保护无限的子域。
例如,您可以对域名 abc.com 使用通配符证书,该证书也适用于 mail.abc.com、ftp.abc.com 和任何其他子域。通配符是指为 *.abc.com 配置证书。
它不允许扩展验证。
桑:
SAN 证书允许使用单个证书保护多个域名。
例如,您可以获取 abc.com 的证书,然后添加更多 SAN 值以使用相同的证书保护 abc.org、abc.net 甚至 abc.xyz
它允许扩展验证。