Estoy ejecutando un servidor "myserver.net", que tiene los subdominios "a.myserver.net" y "b.myserver.net".
Al crear certificados SSL (autofirmados), tengo que crear uno para cada subdominio, que contiene el FQDN, a pesar de que esos subdominios son solo vhosts.
OpenSSL permite solo un "nombre común", que es el dominio en cuestión. ¿Existe alguna posibilidad de crear un certificado que sea válido para todos los subdominios de un dominio?
Respuestas:
Sí, use * .myserver.net como nombre común.
Esto se llama certificados comodín y hay una gran cantidad de procedimientos que se encuentran con esta palabra clave.
Aquí está uno de ellos: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- certificado
Actualización: si desea que el certificado coincida también con el dominio raíz (myserver.net), debe usar la extensión de Nombre alternativo del sujeto. Al generar un certificado utilizando openssh, ingrese '* .myserver.net / CN = myserver.net' como Nombre común.
Compatiblemente es lo suficientemente bueno , a menos que tenga un navegador antiguo.
Al igual que para su información, existe otro tipo de certificado, también llamado Certificado de Comunicaciones Unificadas. Solo se puede emitir un comodín, *.domain.compero un certificado UCC le permite enumerar hasta 100 nombres de dominio totalmente calificados (FQDN) en cualquier dominio. La razón principal para obtener uno de estos es que Microsoft no está demasiado interesado en los comodines para cosas como controladores de dominio MS, Exchange, etc.
https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908
Un Certificado de Comunicaciones Unificadas (UCC) es un certificado SSL que asegura múltiples nombres de dominio y múltiples nombres de host dentro de un nombre de dominio. Un UCC le permite asegurar un nombre de dominio primario y hasta 99 nombres alternativos de sujeto (SAN) adicionales en un solo certificado. Los UCC son ideales para Microsoft® Exchange Server 2007, Exchange Server 2010 y Microsoft Live® Communications Server.
Los UCC son compatibles con el alojamiento compartido. Sin embargo, el sello del sitio y la información del certificado "Emitido para" solo enumerará el nombre de dominio principal. Tenga en cuenta que las cuentas de alojamiento secundario también se incluirán en el certificado, por lo que si no desea que los sitios aparezcan "conectados" entre sí, no debe usar este tipo de certificado.
El principal inconveniente de UCC es que debe enumerar todos sus dominios por adelantado (los comodines no requieren esto). Si la lista cambia alguna vez, tendrá que obtener un nuevo certificado. Por cierto, Namecheap (solo uno que conozco que hace esto) ofrece un UCC de validación extendida (usted paga por dominio, lo que significa que un certificado de 100 dominios es MUY costoso), que es la única forma de tener un certificado EV para más de un dominio , ya que nadie ofrece comodines EV.
Es una pregunta valida. Desafortunadamente, por lo que entiendo, los protocolos nunca pretendieron que el propietario de un dominio pueda firmar certificados solo para subdominios.
Usted es un CA para cualquier cosa o nada. No hay limitación en el alcance una vez que es una CA.
Estúpido pero así son las cosas. Simplemente compre un certificado por separado para cada dominio que posea $$$, así es cada uno, así que no se moleste en tratar de proteger los dispositivos integrados que vende.