通配符ssl子子域

我们有通配符ssl证书* .domain.com,并有一个网站sub1.sub2.domain.com

safari 4.0.4在MacOsxpopup一个证书错误(大概是因为通配符解释),而在Windows上Safari 4没有。

也就是ie8行为混合在一起,有些ie8不显示证书错误,有些则不显示。

在Safari和IE上导致这种奇怪行为的原因是什么?

* .example.net的通配符SSL证书将匹配sub.example.net,但不匹配sub.sub.example.net

从RFC 2818 :

匹配是使用RFC2459指定的匹配规则来执行的 。 如果证书中存在给定types的多个身份(例如,多个dNSName名称,则任何一个集合中的匹配被认为是可接受的)。名称可以包含通配符* ,其被认为匹配任何单个域名组件或组件片段。 例如, *.a.comfoo.a.com匹配,但不匹配bar.foo.a.comf*.comfoo.com匹配,但不是bar.com

如果您需要包含* .domain.com站点的通配符证书,并且还可以使用sub1.sub2.domain.com或另一个域名(如* .domain2.com),则可以使用单个通配符证书解决此问题,即所谓的主题每个其他子子域的替代名称(SAN)扩展名。 SAN证书不仅适用于多个特定主机名,还可以为通配符条目创buildSAN证书。

例如,* .domain.com,sub1.sub2.domain.com和* .domain2.com将具有* .domain.com的通用名称,那么您将附加* .domain2.com和* .sub2.domain.com。 它可能取决于证书颁发机构,他们将如何向您收取证书(但不是),但是有一些在这里提供这个产品。 而且,SAN支持在networking浏览器领域相当普遍。 这个使用的最好的现实世界的例子,它的谷歌的SSL证书。 打开谷歌和查看其SSL证书,你会看到它适用于* .google.com,* .youtube.com,*。gmail.com,以及更多的地方,他们被列为主题替代名称。

通配符仅适用于您域的第一部分(从左边开始)。 所以你需要一个* .sub2.domain.com的证书

如果你的意思是你有sub1.domain.com和sub2.domain.com,那么它应该工作。