Comment créer un certificat SSL pour plus d'un sous-domaine?


20

J'exécute un serveur "myserver.net", qui a les sous-domaines "a.myserver.net" et "b.myserver.net".

Lors de la création de certificats SSL (auto-signés), je dois en créer un pour chaque sous-domaine, contenant le nom de domaine complet, même si ces sous-domaines ne sont que des vhosts.

OpenSSL n'autorise qu'un seul "nom commun", qui est le domaine en question. Existe-t-il une possibilité de créer un certificat valable pour tous les sous-domaines d'un domaine?

Réponses:


27

Oui, utilisez * .myserver.net comme nom commun.

C'est ce qu'on appelle des certificats génériques et il existe un grand nombre de howtos trouver avec ce mot clé.

En voici un: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- certificat

Mise à jour: si vous souhaitez que le certificat corresponde également au domaine racine (myserver.net), vous devez utiliser l'extension Subject Alternative Name. Lors de la génération du certificat à l'aide de openssh, entrez «* .myserver.net / CN = myserver.net» comme nom commun.

La compatibilité est suffisante , sauf si vous avez un ancien navigateur.


D'accord, mais le certificat est-il également valable pour le domaine racine ("myserver.net") ou pour tous les sous-domaines?
polemon

1
Non, mais vous pouvez ajouter un autre nom de sujet: utilisez '* .myserver.net / CN = myserver.net' comme common.name. Voir ici: artins.org/ben/... et ici: digicert.com/subject-alternative-name-compatibility.htm
rvs

Le lien est mort. Pouvez-vous le mettre à jour?
allprog

1

Tout comme un FYI, il existe un autre type de certificat aussi appelé certificat de communications unifiées. Un caractère générique ne peut être émis que pour, *.domain.commais un certificat UCC vous permet de répertorier jusqu'à 100 noms de domaine complets (FQDN) sous n'importe quel domaine. La principale raison pour en obtenir un est que Microsoft n'aime pas trop les caractères génériques pour des choses comme les contrôleurs MS Domain, Exchange, etc.

https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

Un certificat de communications unifiées (UCC) est un certificat SSL qui sécurise plusieurs noms de domaine et plusieurs noms d'hôte au sein d'un nom de domaine. Un UCC vous permet de sécuriser un nom de domaine principal et jusqu'à 99 noms de sujet (SAN) supplémentaires dans un seul certificat. Les UCC sont idéaux pour Microsoft® Exchange Server 2007, Exchange Server 2010 et Microsoft Live® Communications Server.

Les UCC sont compatibles avec l'hébergement mutualisé. Toutefois, le sceau de site et le certificat "Délivré à" contiennent uniquement le nom de domaine principal. Veuillez noter que tous les comptes d'hébergement secondaires seront également répertoriés dans le certificat, donc si vous ne voulez pas que les sites apparaissent «connectés» les uns aux autres, vous ne devez pas utiliser ce type de certificat.

Le principal inconvénient de l'UCC est que vous devez répertorier tous vos domaines à l'avance (les caractères génériques ne l'exigent pas). Si la liste change, vous devrez obtenir un nouveau certificat. Soit dit en passant, Namecheap (je n'en connais qu'un seul à cet effet) propose un UCC de validation étendue (vous payez par domaine, ce qui signifie qu'un certificat de 100 domaines est TRÈS cher), qui est le seul moyen d'avoir un certificat EV pour plus d'un domaine. , car personne ne propose de Wildcards EV.


-1

C'est une question valable. Malheureusement, d'après ce que je comprends, les protocoles n'ont jamais voulu que le propriétaire d'un domaine puisse signer des certificats pour des sous-domaines uniquement.

Vous êtes soit CA pour tout ou rien. Il n'y a aucune limitation de portée une fois que vous êtes CA.

Stupide mais c'est comme ça. Achetez simplement un certificat distinct pour chaque domaine que vous possédez $$$, c'est exact pour chacun, alors ne vous embêtez pas à essayer de sécuriser les appareils intégrés que vous vendez.


2
Non, c'est faux. Tout d'abord, voyez l'autre réponse ici, ensuite, lisez ce qu'est réellement une autorité de certification. J'ai une autorité de certification pour mon domaine interne uniquement. Il existe de nombreuses limites de portée pour les autorités de certification.
HopelessN00b
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.