Anda dapat membuat sertifikat SSL dengan menggunakan * .domain.com sebagai namanya.
Namun sayangnya, ini tidak mencakup https://domain.com
Apakah ada perbaikan untuk ini?
Anda dapat membuat sertifikat SSL dengan menggunakan * .domain.com sebagai namanya.
Namun sayangnya, ini tidak mencakup https://domain.com
Apakah ada perbaikan untuk ini?
Jawaban:
Sepertinya saya ingat bahwa * .domain.com sebenarnya melanggar RFC (saya pikir hanya lynx yang mengeluh :)
Buat sertifikat dengan domain.com sebagai CN dan * .domain.com di subjectAltName:dNSName
bidang nama - yang berfungsi.
Untuk openssl, tambahkan ini ke ekstensi:
subjectAltName = DNS:*.domain.com
Sayangnya Anda tidak dapat melakukan ini. Aturan untuk menangani wildcard pada subdomain mirip dengan aturan tentang cookie untuk subdomain.
www.domain.com matches *.domain.com
secure.domain.com matches *.domain.com
domain.com does not match *.domain.com
www.domain.com does not match domain.com
Untuk menangani ini, Anda harus mendapatkan dua sertifikat, satu untuk *.domain.com
dan yang lainnya untuk domain.com
. Anda perlu menggunakan dua alamat IP terpisah dan vhosts dua menangani domain ini secara terpisah.
Wildcard hari ini akan memiliki * .domain.com dan domain.com di bidang nama alternatif subjek (SAN). Sebagai contoh, lihat wildcard SSL cert quora.com
Kamu akan lihat
Nama Alternatif Subjek: * .quora.com, quora.com
Mungkin bukan jawaban yang Anda cari, tapi saya 99% yakin tidak ada jalan. Redirect http://domain.com/ ke https://www.domain.com/ dan cukup gunakan * .domain.com sebagai sertifikat SSL. Ini jauh dari sempurna, tetapi semoga mencakup sebagian besar kasus yang Anda minati. Satu-satunya alternatif lain adalah menggunakan alamat IP yang berbeda untuk domain.com dan www.domain.com. Kemudian Anda dapat menggunakan sertifikat berbeda untuk setiap IP.
Tidak karena mereka ruang nama yang sama sekali berbeda. redirect tld juga bukan pilihan karena SSL adalah enkripsi transport yang harus didekodekan ssl sebelum apache misalnya bahkan dapat melihat host permintaan untuk mengalihkannya.
Juga sebagai catatan tambahan: foo.bar.domain.com juga tidak berlaku untuk sertifikat wildcard (firefox dari memori adalah satu-satunya yang akan mengizinkannya.