Estou executando um servidor "myserver.net", que possui os subdomínios "a.myserver.net" e "b.myserver.net".
Ao criar certificados SSL (autoassinados), tenho que criar um para cada subdomínio, contendo o FQDN, mesmo que esses subdomínios sejam apenas vhosts.
O OpenSSL permite apenas um "nome comum", que é o domínio em questão. Existe alguma possibilidade de criar um certificado válido para todos os subdomínios de um domínio?
Respostas:
Sim, use * .myserver.net como nome comum.
Isso é chamado de caracteres curinga e existe um grande número de instruções com essa palavra-chave.
Aqui está um deles: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- certificado
Atualização: se você quiser que o cert também corresponda ao domínio raiz (myserver.net), use a extensão Subject Alternative Name. Ao gerar cert usando openssh, digite '* .myserver.net / CN = myserver.net' como Nome Comum.
Compatibilidade é bom o suficiente , a menos que você tenha um navegador antigo.
Assim como na FYI, existe outro tipo de certificado, também chamado de Certificado de Comunicações Unificadas. Um curinga só pode ser emitido para, *.domain.commas um certificado UCC permite listar até 100 nomes de domínio totalmente qualificados (FQDN) em qualquer domínio. A principal razão para obter uma dessas opções é que a Microsoft não gosta muito de curingas para coisas como controladores de domínio MS, Exchange etc.
https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908
Um certificado de comunicações unificadas (UCC) é um certificado SSL que protege vários nomes de domínio e vários nomes de host em um nome de domínio. Um UCC permite proteger um nome de domínio primário e até 99 nomes alternativos de assunto (SANs) adicionais em um único certificado. Os UCCs são ideais para Microsoft® Exchange Server 2007, Exchange Server 2010 e Microsoft Live® Communications Server.
UCCs são compatíveis com hospedagem compartilhada. No entanto, as informações "Emitido para" do selo e certificado do site listarão apenas o nome de domínio principal. Observe que todas as contas de hospedagem secundária também serão listadas no certificado; portanto, se você não deseja que os sites pareçam 'conectados', não deve usar esse tipo de certificado.
A principal desvantagem do UCC é que você precisa listar todos os seus domínios com antecedência (os curingas não exigem isso). Se a lista mudar, você precisará obter um novo certificado. Aliás, a Namecheap (apenas uma que eu conheço faz isso) oferece uma UCC de validação estendida (você paga por domínio, o que significa que um certificado de 100 domínios é MUITO caro), que é a única maneira de ter um certificado EV para mais de um domínio , como ninguém oferece curingas EV.
É uma pergunta válida. Infelizmente, pelo que entendi, os protocolos nunca pretendiam que o proprietário de um domínio pudesse assinar certificados apenas para subdomínios.
Você é uma autoridade de certificação para qualquer coisa ou nada. Não há limitação no escopo quando você é uma autoridade de certificação.
Estúpido, mas é assim que é. Basta comprar um certificado separado para cada domínio que você possui, o que é certo para cada domínio. Portanto, não se preocupe em tentar proteger os dispositivos embarcados que você vende.