Мне просто интересно, нужно ли обязательно, чтобы подстановочный SSL-сертификат имел общее имя, содержащее доменное имя сайтов, к которым применяется SSL-сертификат.
Например, для следующего:
Доменное имя: testdomain.com
Подсайты:
Нужно ли обязательно, чтобы мой сертификат подстановочного знака имел общее имя *.testdomain.com?
Да, ваше общее имя должно быть * .yourdomain.com для подстановочного сертификата.
По сути, общее имя определяет, для какого домена подходит ваш сертификат, поэтому оно должно указывать фактический домен.
Пояснение: оно не должно "содержать" доменное имя сайтов, оно должно быть доменом сайтов. Я предполагаю, что в вашем вопросе нет разницы, я просто хотел уточнить, на случай, если будет неправильное представление о том, каким должен быть домен, или для чего будет использоваться сертификат.
На самом деле, вы должны использовать dnsName запись в разделе subjectAltName сертификата указания FQDNs, а не CN части subject Использование subject для этой цели не рекомендуется с момента публикации RFC 2818 в 2000 году. Цитирование раздела 3.1:
Если присутствует расширение subjectAltName типа dNSName, оно ДОЛЖНО использоваться в качестве идентификатора. В противном случае (наиболее определенное) поле общего имени в поле «Тема» сертификата ДОЛЖНО использоваться. Хотя использование общего имени является существующей практикой, оно устарело, и вместо этого сертификационным органам рекомендуется использовать dNSName.
Единственный случай, когда содержимое subject релевантно в контексте проверки сертификата сервера, - это отсутствие dnsName включенного в subjectAltName , который был устаревшим на протяжении последних 17 лет на момент написания.
Использование подстановочных сертификатов не рекомендуется, как показано в разделе 7.2 RFC 6125:
В этом документе говорится, что подстановочный знак '*' НЕ ДОЛЖЕН включаться в представленные идентификаторы, но МОЖЕТ проверяться клиентами приложения (главным образом для обратной совместимости с развернутой инфраструктурой).
Использование одного и того же закрытого ключа для нескольких сервисов обычно считается плохой практикой. Если одна из служб будет скомпрометирована, связь с другими службами окажется под угрозой, и вам придется заменить ключ (и сертификат) для всех служб.
Я предлагаю RFC 6125 в качестве хорошего источника информации по этому вопросу.
Да, Wildcard SSL Certificate является лучшим решением в соответствии с вашими требованиями. С сертификатом Wildcard вы сможете защитить информацию вашего посетителя. Не имеет значения, какая страница вашего сайта отправлена. Подстановочный сертификат защищает неограниченное количество поддоменов, имеющих одно и то же доменное имя.
Установка одного и того же подстановочного сертификата во всех поддоменах и серверах передает встроенный риск: если один сервер или поддомен скомпрометирован, все поддомены могут быть скомпрометированы одинаково. Убедитесь, что ваш сайт защищен несколькими уровнями защиты от любого внешнего и внутреннего давления.
