Dois-je acheter un deuxième certificat générique pour un sous-domaine?


8

Nous avons déjà un certificat générique pour *.mycompany.com. Notre réseau a des hôtes qui ne sont accessibles qu'en interne. Ils appartiennent tous au internal.mycompany.comsous - domaine. Il y a un serveur privé avec le nom d'hôte server.internal.mycompany.comsur lequel j'ai déployé notre certificat générique.

Lorsque je visite le serveur Web, j'obtiens une erreur de non-correspondance du nom d'hôte. Dois-je vraiment obtenir un autre certificat générique pour *.internal.mycompany.comou existe-t-il une autre façon (gratuite!?) D'utiliser notre certificat générique pour tous nos sous-domaines et ses sous-domaines sans obtenir une erreur dans le navigateur?


2
La meilleure façon d'obtenir cette réponse est d'appeler votre fournisseur ssl et de lui demander s'il existe une solution, c'est ce que je ferais si j'ai un problème avec quelque chose et que j'ai un compte payant avec le fournisseur. Bien que, pour autant que je sache, il n'est pas possible d'utiliser un caractère générique émis pour votre doamin principal pour le sous-sous-domaine, vous devez créer un nouveau certificat. .
Pratap

2
Vous pouvez déployer un certificat racine auto-signé gratuit à des fins internes.
JamesRyan

@JamesRyan: Veuillez lire mon commentaire pour la réponse acceptée et pourquoi je ne pense pas que les certificats auto-signés soient une solution.
Rafael Bugajewski

Je viens de recevoir une réponse de Comodo: «Si vous devez installer sur un serveur différent pour l'un de vos sous-domaines, vous devez générer à nouveau la CSR à partir de votre serveur et contacter… pour remplacer la CSR et obtenir votre certificat réémis. Une fois que vous avez obtenu le nouveau certificat, essayez d'installer ce nouveau certificat pour internal.mycompany.com et de le réémettre, cela n'affectera pas les installations précédentes. »
Rafael Bugajewski

Réponses:


15

Oui, vous devrez acheter un autre certificat *

Le caractère générique astérisque *ne correspondra qu'à 1 étiquette dans un nom de domaine complet résolu.

Ce comportement reflète la RFC 4592 Section 3.3 , dans sa description de la correspondance d'étiquette DNS et de la substitution à l'étiquette d'astérisque.

Si vous avez seulement besoin de sécuriser un seul point de terminaison sous l' .internal.mycompany.com.espace de noms, vous n'avez pas besoin d'un certificat générique, achetez simplement un certificat à sujet unique régulier.


*) Les exigences de base de CA / Browser Forum pour l'émission de certificats publics autorisent les noms génériques dans l'extension SAN d'un certificat, donc techniquement, un seul certificat générique pourrait être valide pour la correspondance générique sur plusieurs sous-domaines, mais je n'ai jamais vu ce type de produit annoncé n'importe où, et je suppose qu'il est ouvertement cher


Lorsque j'exécute ma propre autorité de certification, je dois m'assurer que tous les certificats sont déployés sur tous les clients, car mon objectif est de rendre l'expérience utilisateur aussi simple que possible. Lorsque j'achète un certificat auprès d'une autorité de certification déjà fiable, je dois seulement m'assurer de tout déployer sur les serveurs. Cependant, quelques centaines de dollars, c'est beaucoup d'argent pour un usage interne uniquement pendant cinq ans. Suis-je en train de manquer quelque chose?
Rafael Bugajewski

2
Eh bien, dans cette optique, quelques centaines de dollars sur cinq ans pour réduire votre mal de tête sont des arachides :-)
Mathias R. Jessen

3
Si vous disposez d'un annuaire actif, vous pouvez envoyer automatiquement un certificat racine auto-signé aux utilisateurs internes du domaine, puis le processus est transparent pour les utilisateurs.
JamesRyan

@JamesRyan: Nous n'avons pas de serveurs Windows dans notre environnement, mais c'est un point intéressant. À la fin, j'ai mordu la balle, j'ai sorti la carte de crédit et j'ai acheté un autre certificat pour * .internal.mycompany.com et maintenant tout fonctionne comme prévu. Merci pour votre aide les gars.
Rafael Bugajewski

3

Selon les protocoles de sécurité du certificat SSL WildCard , il n'autorise que la protection du domaine de premier niveau qui comprend également votre domaine principal, tel que domainname.com et domain.domainname.com . Il permet une sécurité illimitée des sous-domaines, mais ils doivent être des domaines de premier niveau .

Si vous souhaitez protéger votre nom de sous-domaine qui formate dans domain.domain.domainname.com quelle technique connue sous le nom de sous-domaine de deuxième niveau, vous devez avoir un autre certificat SSL générique pour spécifiquement la sécurité de ce nom de sous-domaine.


1

Le certificat SSL Wildcard ne peut sécuriser que des sous-domaines à un seul niveau. Si vous avez un SSL générique émis pour * .mycompany.com, il sécurisera mycompany.com et tous ses sous-domaines.

Si votre besoin est de sécuriser des sous-domaines de deuxième niveau, vous devez donc créer une CSR pour * .internal.mycompany.com (avec cette condition, mycompany.com recevra un avertissement de non-correspondance de nom de domaine dans les navigateurs, vous devez donc acheter un SSL standard certificat pour mycompany.com)

Il est possible de sécuriser l'ensemble de votre site Web avec un seul certificat multi-domaine. Avec le certificat SSL multi-domaines, vous pouvez sécuriser plusieurs sites Web, sous-domaines et sous-domaines multi-niveaux.

  • mycompany.com
  • mycompany.co.uk
  • internal.mycompany.com
  • * .mycomapany.com
  • server.internal.mycompany.com . .anycompany.anytld

Le certificat SSL multi-domaine, également appelé certificat SSL SAN, compte chaque condition comme un nom SAN individuel.

Vous devez évaluer le nombre de sous-domaines créés sous mycomapny.com et * .internal.mycompany.com, ce qui vous aidera à choisir le bon produit de certificat.

Ici au scénario de détail déjà expliqué - Certificat SSL générique pour le sous-domaine de deuxième niveau

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.