同じドメインの複数のホスト名で単一の(ワイルドカードではない)SSL証明書を使用できますか?
test.example.comとprod.example.com(2つのホスト名、ただし同じドメイン名)がある場合、両方のマシンで同じSSL証明書を使用できますか?
以前、prod.example.comでtest.example.com証明書を使用しようとすると、ホストの不一致についてブラウザの警告が表示され、ワイルドカード(または複数の個別の証明書)が必要であると思われました。 (おそらく私の間違いは、単にprod.example.comではなくexample.comのCSRを生成することでしたか?)
しかし、さまざまなSSLベンダーのWebサイトでは、サブドメインのワイルドカード証明書が必要であると述べていますが、これは私が使用しているものではありません。
彼らの言語は単に間違っていますか? (私の皮肉な側は、これがベンダーがより高価な証明書を販売するのに役立つかどうか疑問に思います...)
[サブジェクト代替名]フィールドをサポートする証明書が必要であり、説明した例で機能するには、そこにtest.example.comがあります。
example.comの証明書は、ワイルドカード証明書である場合を除いて、説明しているように*.example.comに対して魔法のように機能しません。ワイルドカード証明書は、持っていないと明示的に言います。各サブドメインを一覧表示するSANフィールドは、ワイルドカードを取得しない場合に必要なものです。
彼らの言語は単に間違っていますか?
いいえ、あなたのものです。
test.example.comとprod.example.com(2つのホスト名、ただし同じドメイン名)がある場合
これらはnot同じドメイン名です。それらは両方ともseparateexample.comの-subdomainsであるドメイン名です。
ドメイン名はanyドメインレジストラから取得した名前だけでなく、DNSの任意のレベルに存在する名前です。
SSL証明書は以下のみをカバーできます。
- 正確なドメイン名
- 上記と同じですが、追加の「サブジェクト代替名」、または
- すべてのサブドメイン、つまりワイルドカード証明書。
したがって、example.comの証明書を取得して、サブドメインも自動的にカバーすることはできません。
最初の説明:使用している方法にサブドメインはなく、ドメインのみです。または、所有するドメインはすべてサブドメインであると言えます。ルートドメインは「。」です。 TLD「com」。 「。」の「サブドメイン」です。 「example.com」は「com。」のサブドメインです...サブドメインは、別のドメイン内で定義されたドメインです。しかし、これは相対的なものであり、絶対的な属性ではありません。
ワイルドカード証明書は、ドメイン証明書とは異なるためではなく、公開されて危険にさらされる可能性があるため、より拡張性があります。 SSL CAに証明書の「価格」を支払うのではなく、限定的な保険を支払います。この保険は、違反が証明書の取り扱いの誤りによって引き起こされ、CAによるチェーンである場合にのみ適用されます。
サブドメインが少ない場合は、複数のドメインの証明書(サブジェクト代替名を使用する証明書)を購入する方が安価です。ドメインに多数のサブドメインがある場合、または不明な数のサブドメインを追加する予定の場合は、ワイルドカード証明書を購入することをお勧めします。異なるドメイン(example1.com、example2.com、example1.us)がある場合は、SAN証明書のみを使用するか、ドメインごとにワイルドカード証明書を購入できます(たとえば、 * .comのワイルドカード証明書)。
SAN証明書またはワイルドカード証明書を使用すると、同じリスナーを使用し、おそらく同じユーザーを使用する必要があるため、構成のセキュリティが低下する可能性があります(mod_suexecなどを使用して異なるユーザーで実行できます)したがって、1つのサイトが侵害された場合、他のサイトが侵害される可能性があります。証明書が異なる場合は、それらのアプリケーションを異なるユーザーとして実行し、セキュリティを強化できます。