1. Inicio
  2. Pregunta y respuesta
  3. ¿Es posible tener un sub-subdominio válido con un certificado de comodín?

¿Es posible tener un sub-subdominio válido con un certificado de comodín?

2010-06-21 10 views
10

Decir que tengo el siguiente dominio:¿Es posible tener un sub-subdominio válido con un certificado de comodín?

example.com

Tengo un certificado SSL Comodín para este dominio. Subdominios como test.example.com validan correctamente. Sin embargo, cuando trato de usar un dominio como demo.test.example.com, aparece un mensaje de error en todos los principales navegadores:

demo.test.example.com uses an invalid security certificate. 

The certificate is only valid for the following names: 
    *.example.com , example.com

¿Es posible usar un certificado comodín para un "sub-subdominio"?

Fuente

2010-06-21 David Barnes

+0

Respuesta rápida: No. Sin embargo, esta pregunta podría ser mejor formulada en http://serverfault.com/. – Wrikken

Respuesta

9

Bueno, ¡ya has verificado que no puedes! He aquí por qué:

Desde: http://www.ietf.org/rfc/rfc2818.txt

nombres pueden contener el carácter comodín * que se considera partido de cualquier nombre de dominio único
componente o fragmento de componente. Por ejemplo, *.a.com coincide con foo.a.com pero no bar.foo.a.com. f*.com matchesfoo.com pero no bar.com.

Fuente

2010-06-21 19:59:59

4

Sí, puede usar comodines. Pero solo se extienden a ese nivel de subdominio.

*.example.com funciona para test.example.com pero no para demo.test.example.com.

Debería especificar *.*.example.com en el certificado. No estoy seguro de que esto continúe trabajando con test.example.com.

Fuente

2010-06-21 20:01:51 mcandre

7

Las normas no permiten que un comodín funcione en varios niveles. Sin embargo, puede colocar el subdominio multinivel específico como un nombre alternativo del sujeto en el certificado de comodín y funcionará. Algunos proveedores de certificados (como DigiCert) lo permiten.

Fuente

2010-06-23 14:58:12 Robert

0

Técnicamente se podría especificar los siguientes nombres alternativos en el certificado y entonces debería funcionar:

example.com 
*.example.com 
*.*.example.com

No sé si hay autoridades de certificación que proporcionan dichos certificados.

Fuente

2012-09-13 13:23:19 SjorsH

+3

¿Podrían los 3 downvoters explicar por qué esta no es una respuesta útil? ¡Me parece correcto desde un punto de vista técnico, al menos cuando RFC 2818 se implementa correctamente! También tiene un buen punto de partida, que ciertas CA pueden no emitir certificados de comodines multinivel (aunque algunos los ofrecen, incluso varios niveles abajo - digicert usado para promocionar esto, por ejemplo) – Levit

+0

No es un infractor, pero al intentar esto creó un ' * .local, *. *. local' certificado con openssl, esto no parece funcionar en la práctica. Chrome se queja de que "El servidor no pudo probar que es ** x.y.local **; su certificado de seguridad es de ***. Local **". Sin embargo, regenerar el certificado con '* .local, * .y.local' funciona. – Barry

Cuestiones relacionadas

 Cuestiones relacionadas