我已经在具有不同域扩展名的单个网络服务器中设置了我的网站,例如
https://mybusiness.com
https://mybusiness.com.au
https://mybusiness.co.nz
....
而且我还有子域(IIS中的不同网站)来做后端工作,例如
https://admin.mybusiness.com
https://admin.mybusiness.com.au
https://admin.mybusiness.co.nz
我正在寻找购买SSL证书,但不太确定哪种类型最适合我的情况。
我应该购买一个带有多个支持子域的SSL的单个域SSL,还是应该为每个带有多个支持子域的SSL证书购买单独的域SSL。
最佳答案
不同域扩展的SSL证书...
我认为CA posse不会向您出售通配符,例如mybusiness.*和*.mybusiness.*。至少,您必须展示对所有可能域的控制,而您可能做不到。
CA和浏览器已经聚在一起并遵守自我强加的要求。请参见CA/B Baseline Requirements。经验法则是通配符应显示在FQDN的最左侧。 IETF有点草率,但人们是从CA而非IETF购买的。因此,您必须执行CA / B规则。
(奇怪的是,非浏览器是根据IETF规则解析的,因此可以使非浏览器接受根据其颁发的标准无效的证书)。
如果我要购买一个具有多个支持子域名的SSL的单一域SSL,
我相信您应该购买一份涵盖您所控制的适用域名的证书。您需要列出您所控制的所有域,然后应用一个请求,以在主题备用名称(SAN)中将它们作为DNS名称列出。 CSR可能看起来像:
CN =我的公司
SAN = DNS:mybusiness.com
SAN = DNS:mybusiness.com.au
SAN = DNS:mybusiness.co.zn
SAN = DNS:*。mybusiness.com
SAN = DNS:*。mybusiness.com.au
SAN = DNS:*。mybusiness.co.zn
不建议在公用名(CN)中放置DNS名称,并且不能使用。因此,您之所以加上一个友好的名字。
如果您不介意每个域一个证书(不带通配符),那么Starcom将免费为您提供1类。大多数移动和桌面浏览器都信任Startcom。他们也提供通配符,但您必须购买它们。