是否可以使用通配符SAN证书? [关闭]
收藏

是否可以使用通配符域和SAN通过单个证书保护多个域?

For example, one SAN certificate that secures both *.domain1.com and *.domain2.com?

到目前为止,我阅读的所有内容似乎都表明您可以拥有通配符证书(* .domain1.com)或SAN证书(host1.domain1.com,host2.domain2.com),但不能同时使用。它是否正确?

最佳答案

我假设您使用要为HTTP使用证书。在这种情况下,您需要查看RFC2818。此RFC明确定义了仅在未配置使用者替代名称的情况下才应使用公用名,但是它允许在SAN扩展中使用通配符证书。因此,应该有可能在证书的SAN部分中合并多个非通配符和通配符证书。

看起来各种CA在创建混合通配符和非通配符的证书方面有不同的策略:Thawte认为不可能混合(https://community.thawte.com/blog-posts/difference-between-wildcard-ssl-vs -san-certificate),DigiCert将其传播为两全其美(http://www.digicert.com/ssl-support/wildcard-san-names.htm)。因此,它似乎更多地是对CA的限制,而不是浏览器的限制,而且绝对不是标准的限制。

    公众号
    关注公众号订阅更多技术干货!