Vous pouvez créer un certificat SSL en utilisant * .domain.com comme nom.
Mais malheureusement, cela ne couvre pas https://domain.com
Y a-t-il une solution à cela?
Vous pouvez créer un certificat SSL en utilisant * .domain.com comme nom.
Mais malheureusement, cela ne couvre pas https://domain.com
Y a-t-il une solution à cela?
Réponses:
Je semble me rappeler que * .domain.com viole de toute façon la RFC (je pense que seul lynx se plaint cependant :)
Créez un certificat avec domain.com comme CN et * .domain.com dans le subjectAltName:dNSName
champ des noms - cela fonctionne.
Pour openssl, ajoutez ceci aux extensions:
subjectAltName = DNS:*.domain.com
Malheureusement, vous ne pouvez pas faire cela. Les règles de gestion des caractères génériques sur les sous-domaines sont similaires aux règles relatives aux cookies pour les sous-domaines.
www.domain.com matches *.domain.com
secure.domain.com matches *.domain.com
domain.com does not match *.domain.com
www.domain.com does not match domain.com
Pour gérer cela, vous devrez obtenir deux certificats, l'un pour *.domain.com
et l'autre pour domain.com
. Vous devrez utiliser deux adresses IP distinctes et deux hôtes gèrent ces domaines séparément.
De nos jours, les caractères génériques auront * .domain.com et domain.com dans le champ de nom alternatif sujet (SAN). Par exemple, jetez un œil au certificat SSL générique de quora.com
Tu verras
Autres noms de sujet: * .quora.com, quora.com
Ce n'est probablement pas la réponse que vous cherchez, mais je suis sûr à 99% qu'il n'y a pas moyen. Redirigez http://domain.com/ vers https://www.domain.com/ et utilisez simplement * .domain.com comme certificat SSL. C'est loin d'être parfait, mais devrait, espérons-le, couvrir la plupart des cas qui vous intéressent. La seule autre alternative consiste à utiliser des adresses IP différentes pour domain.com et www.domain.com. Ensuite, vous pouvez utiliser différents certificats pour chaque IP.
Non, car ils sont complètement différents. rediriger le tld n'est pas une option non plus car SSL est un cryptage de transport, il doit décoder le ssl avant qu'apache par exemple ne puisse même voir l'hôte de la demande pour le rediriger.
Également comme remarque: foo.bar.domain.com n'est pas non plus valide pour un certificat générique (Firefox de mémoire est le seul à permettre cela.