Можно ли защитить несколько доменов одним сертификатом с использованием подстановочных доменов и SAN?
Например, один сертификат SAN, который обеспечивает оба *.domain1.com and *.domain2.com?
Все, что я читал до сих пор, похоже, указывает, что вы можете иметь либо сертификат подстановки (*.domain1.com), либо сертификат SAN (host1.domain1.com, host2.domain2.com), но не комбинацию. Правильно ли это?
Предполагаю, что вы хотите использовать сертификат для HTTP. В этом случае вам нужно взглянуть на RFC 2818. В этом RFC четко указано, что общее имя должно использоваться только в том случае, если альтернативные имена объектов не настроены, но он позволяет использовать сертификаты групповых шаблонов в расширении SAN. Таким образом, должно быть возможно объединить несколько несимметричных и подстановочных сертификатов внутри SAN-части сертификата.
Похоже, что у разных ЦС есть разные политики создания сертификатов, которые смешивают подстановочный знак и несимвольный символ: хотя Thawte утверждает, что смешивание невозможно (https://community.thawte.com/blog-posts/difference-between-wildcard-ssl-vs-san-certificate) DigiCert распространяет его как лучшее из обоих миров (http://www.digicert.com/ssl-support/wildcard-san-names.htm). Таким образом, это скорее ограничение CA, а не браузеров и, безусловно, не стандартное.
Да, это возможно технически. Например, cetrtificate для Microsoft Outlook Web Access (https://outlook.office365.com) был выпущен на outlook.com и имеет комбинацию подстановочных и не-подстановочных имен в SAN раздел:
DNS Name=outlook.com
DNS Name=*.outlook.com
DNS Name=office365.com
DNS Name=*.office365.com
DNS Name=*.live.com
DNS Name=*.internal.outlook.com
DNS Name=*.outlook.office365.com
DNS Name=outlook.office.com
DNS Name=attachment.outlook.office.net
DNS Name=attachment.outlook.officeppe.net
Конечно, как указано выше, этот сертификат был выпущен самими Microsoft, поэтому они могут в значительной степени делать то, что они хотят.
Я просто хотел предоставить вам обзор как для подстановочных знаков, так и для сертификатов SAN.
Подстановочный знак:
Подстановочный сертификат позволяет неограниченно защищать субдомены с помощью единого сертификата.
Например, вы можете использовать подстановочный сертификат для доменного имени abc.com, и этот сертификат также будет работать для mail.abc.com, ftp.abc.com и любого другого субдомена. Подстановочный знак относится к тому факту, что сертификат предоставляется для *.abc.com.
Он не позволяет выполнять расширенные проверки.
SAN:
Сертификат SAN позволяет защитить несколько доменных имен одним сертификатом.
Например, вы можете получить сертификат для abc.com, а затем добавить больше значений SAN для защиты одного и того же сертификата abc.org, abc.net и даже abc.xyz
Он позволяет выполнять расширенные проверки.
Как правило, для имени домена или URL-адреса требуется только один сертификат для обеспечения безопасности. Но что, если вам нужно защитить несколько доменов? Как вы можете управлять своей безопасностью, не жертвуя бюджетом и временем?
Защита нескольких доменов
Защита нескольких доменов может быть достигнута с помощью двух подходов, сертификатов подстановочных знаков и сертификатов унифицированных коммуникаций (UCC), также известных как SAN (альтернативное имя субъекта). SAN позволяет указать дополнительные имена узлов (сайты, IP-адреса, общие имена и т.д.), Которые должны быть защищены одним сертификатом SSL, в то время как сертификат подстановки может поддерживать один домен и неограниченное количество поддоменов первого уровня. SAN/UCC также можно объединить в качестве расширения с помощью подстановочного знака, чтобы добавить функциональность в сертификат. Вы можете объединить эти два сертификата в качестве сертификатов SSL для нескольких доменов в зависимости от ваших потребностей. Это упрощает и упрощает управление безопасностью нескольких сайтов, чем управление отдельным сертификатом SSL для каждого вашего домена.