【问题标题】:existing https certificate add wildcard现有 https 证书添加通配符
【发布时间】:2018-07-26 20:13:49
【问题描述】:

对不起,如果重复,四处寻找,但找不到任何东西。

我有 4 个要使用相同证书的 URL。

dev.myapp    
qa.myapp    
dr.myapp    
myapp

我获得了通配符 *myapp 的证书。我正在开发中对此进行测试,但这似乎不起作用,AWS 告诉我通配符应该是 *.myapp

对此有几个问题。

1) 我可以更改现有证书以使用通配符 *.myapp 吗?但这会在我的产品“myapp”环境中工作吗?
2) 使用两个通配符 *myapp 和 *.myapp 是否正确?如果我可以在现有证书中添加通配符,同样的问题也适用。

【问题讨论】:

    标签: https certificate


    【解决方案1】:

    您无法更改已颁发的证书。没有人可以;如果他们可以,整个系统将是不安全的。

    您可能可以做的是让 CA 颁发一个新的(有些)不同的证书来替换有问题的证书。许多可能大多数 CA 都提供了这样做的规定,无需重复身份和/或域“所有权”证明,也无需额外费用(如果有),但详细信息取决于 CA,有时您购买的功能会有所不同,但您并未仔细识别,无法给出具体的答案。

    我还假设您提供的名称是伪造的,因为 myapp 不是 TLD,如果是,您将无法控制它,而且没有人可以控制 suffix顶级域名。假设您的实际姓名更像是:

    1     example.com
    2 dev.example.com
    3  qa.example.com
    4  dr.example.com
    

    并且您是(或至少控制)example.com 的“所有者”,那么通配符证书 *.example.com 匹配 2-4 但不匹配 1。没有通配符匹配所有四个。

    但是,SSL/TLS 证书(包括 HTTPS)不限于单个名称:它们支持可以有多个名称的 SubjectAlternativeNames 扩展。这通常缩写为 SAN,也称为“多域”或在 Microsoft 世界中的“UCC”。在过去的几十年里,CA 经常为此收取额外费用,但近年来它已普遍包含在基本服务中。例如,如果您购买/请求 www.example.com 的证书,现在许多 CA 实际上会自动为您提供 SAN=www.example.com,example.com。 (准确地说,SAN=dnsName:www.example.com,dnsName:example.com,因为 SAN 还可以做一些与 SSL/TLS/HTTPS 无关的其他事情。)

    对于您的情况,SAN=example.com,*.example.com 将完成您想要的。 SAN=example.com,dev.example.com,qa.example.com,dr.example.com 也是如此,尽管这会将您的子域名“暴露”给任何监视和/或启动与您的服务器的连接的人。请咨询您的 CA,看看他们是否会以其中一种形式向您颁发新证书。

    【讨论】:

    • 非常感谢您提供如此详细而透彻的解释!
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2014-03-19
    • 1970-01-01
    • 2012-01-09
    • 1970-01-01
    • 2014-10-26
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多