[ssl-certificate] 하위 하위 도메인의 와일드 카드 SSL [닫기]

* .domain.com에 대한 와일드 카드 SSL 인증서가 있고 sub1.sub2.domain.com이있는 웹 사이트가 있습니다.

MacOsx의 safari 4.0.4는 인증서 오류 (아마도 와일드 카드 해석으로 인해)를 표시하지만 Windows의 Safari 4는 그렇지 않습니다.

또한 ie8 동작이 최상으로 혼합되어 일부는 ie8에 인증서 오류가 표시되지 않고 일부는 표시되지 않습니다.

Safari와 IE에서이 이상한 행동을 일으키는 원인은 무엇입니까?



답변

와일드 카드 SSL 인증서 .example.net *이 일치 sub.example.net 하지만 sub.sub.example.net을 .

에서 RFC 2818 :

일치는 RFC2459에 지정된 일치 규칙을 사용하여 수행됩니다
. 인증서에 주어진 유형의 아이디가 둘 이상인 경우 (예 : 하나 이상의 dNSName 이름과 일치하면 해당 세트 중 하나와 일치하는 것으로 간주됩니다.) 이름에는 *단일 도메인과 일치하는 것으로 간주되는 와일드 카드 문자가 포함될 수 있습니다. 이름 구성 요소 또는 구성 요소 단편. 예를 들어 *.a.com일치 foo.a.com하지만 일치 하지 않습니다 bar.foo.a.com. f*.com일치 foo.com하지만 그렇지 않습니다 bar.com.


답변

* .domain.com 사이트가 포함 된 와일드 카드 인증서가 필요하고 sub1.sub2.domain.com 또는 * .domain2.com과 같은 다른 도메인과도 함께 작업하는 경우 제목이라고하는 단일 와일드 카드 인증서로이를 해결할 수 있습니다. 다른 하위 도메인 각각에 대한 대체 이름 (SAN) 확장. SAN 인증서는 여러 특정 호스트 이름을위한 것이 아니라 와일드 카드 항목을 위해 만들 수도 있습니다.

예를 들어 * .domain.com, sub1.sub2.domain.com 및 * .domain2.com의 공통 이름은 * .domain.com이며 * .domain2.com과 * .sub2.domain.com. 인증 기관이 인증서를 청구하거나 청구하지 않는 방법에 따라 인증 기관에 따라 다를 수 있지만이 오퍼링을 사용할 수있는 곳이 있습니다. 또한 SAN은 웹 브라우저 공간에서 널리 지원됩니다. 이 사용의 가장 실제적인 예는 Google의 SSL 인증서입니다. Google을 열고 SSL 인증서를 보면 * .google.com, * .youtube.com, * .gmail.com 및 주체 대체 이름으로 표시되는 곳에서 더 많이 작동하는 것을 볼 수 있습니다.


답변

와일드 카드는 도메인의 첫 번째 부분 (왼쪽부터)에만 적용됩니다. * .sub2.domain.com에 대한 인증서가 필요합니다

sub1.domain.com 및 sub2.domain.com이있는 경우 작동합니다.


답변