【发布时间】:2012-04-09 07:01:01
【问题描述】:
我们有一个网站,我们想检查安装的证书是通配符证书还是仅绑定到特定 URL。能否以简单的方式进行检查?
【问题讨论】:
标签: certificate x509certificate
【发布时间】:2012-04-09 07:01:01
【问题描述】:
浏览到您服务器上的安全页面,即:https://yoursite.com
单击 URL 栏中的挂锁并查看证书。要在 Chrome 中执行此操作,请单击 Connection 选项卡,然后单击 Certificate Information。
检查Common Name (CN) 在您的域名前是否包含 *。
【讨论】:
-
这个答案有点不准确,或者更确切地说;不完整。通配符证书的
Common Name不需要以星号开头(例如,它可以简单地列为“example.com”)。在这种情况下,名为Extensions的标头应显示在Fingerprints下方,其中包含一个名为Certificate Subject Alternative Name 的项目,其域值包括通配符“*.example.com”值。
这可以通过检查 SSL 主题中的通用名称来完成。您可以在 *NIX 客户端上使用 bash 命令 openssl。
例如,google.com 和 www.google.com 使用两种不同的 SSL。第一个是通配符,第二个是特定于域的。
$ echo | openssl s_client -connect google.com:443 2>/dev/null | openssl x509 -noout -subject | grep -o "CN=.*" | cut -c 4-
*.google.com
$ echo | openssl s_client -connect www.google.com:443 2>/dev/null | openssl x509 -noout -subject | grep -o "CN=.*" | cut -c 4-
www.google.com
【讨论】:
您可以在其颁发者处查找证书——您应该能够在那里看到它是颁发给 *.domain.com 还是 www.domain.com。例如,Verisign。
【讨论】:
-
知道 GoDaddy 是否有类似的搜索?
-
如果“*.domain.com”则为通配符,如果为“www.domain.com”或“pay.domain.com”则为特定域!
与其他用于网络目的的在线工具类似,我发现这也很方便,非常简单地将您的主机名替换为您的 https 站点网址,它会解释您遇到的问题,以及哪些解决方案可以使您受益...
https://www.sslshopper.com/ssl-checker.html#hostname={siteurl}
【讨论】:
-
简单易懂、准确。谢谢@justnajm!