Wie erstelle ich ein SSL-Zertifikat für mehr als eine Subdomain?

Ich betreibe einen Server "myserver.net" mit den Subdomains "a.myserver.net" und "b.myserver.net".

Beim Erstellen von (selbstsignierten) SSL-Zertifikaten muss für jede Subdomäne, die den vollqualifizierten Domänennamen enthält, ein Zertifikat erstellt werden, obwohl diese Subdomänen nur vhosts sind.

OpenSSL lässt nur einen "allgemeinen Namen" zu, bei dem es sich um die betreffende Domain handelt. Gibt es eine Möglichkeit, ein Zertifikat zu erstellen, das für alle Subdomains einer Domain gültig ist?

Ja, verwenden Sie * .myserver.net als allgemeinen Namen.

Dies wird als Platzhalterzertifikat bezeichnet, und es gibt eine große Anzahl von Anleitungen, die mit diesem Schlüsselwort gefunden werden.

Hier ist eine davon: https://web.archive.org/web/20140228063914/http://www.justinsamuel.com/2006/03/11/howto-create-a-self-signed-wildcard-ssl- Zertifikat

Update: Wenn Sie möchten, dass das Zertifikat auch mit der Root-Domain (myserver.net) übereinstimmt, sollten Sie die Erweiterung für den alternativen Antragstellernamen verwenden. Geben Sie bei der Generierung von Zertifikaten mit openssh '* .myserver.net / CN = myserver.net' als Common Name ein.

Kompatibel ist gut genug , es sei denn, Sie haben einen alten Browser.

Genau wie zu Ihrer Information gibt es eine andere Art von Zertifikat, das auch als Unified Communications-Zertifikat bezeichnet wird. Ein Platzhalter kann nur für ausgestellt werden *.domain.com, mit einem UCC-Zertifikat können Sie jedoch bis zu 100 vollqualifizierte Domänennamen (FQDN) unter einer beliebigen Domäne auflisten. Der Hauptgrund dafür ist, dass Microsoft die Platzhalter für Dinge wie MS-Domänencontroller, Exchange usw. nicht besonders mag.

https://www.godaddy.com/help/what-is-a-multiple-domain-ucc-ssl-certificate-3908

Ein Unified Communications-Zertifikat (UCC) ist ein SSL-Zertifikat, das mehrere Domänennamen und mehrere Hostnamen innerhalb eines Domänennamens sichert. Mit einem UCC können Sie einen primären Domänennamen und bis zu 99 zusätzliche alternative Antragstellernamen (Subject Alternative Names, SANs) in einem einzigen Zertifikat sichern. UCCs sind ideal für Microsoft® Exchange Server 2007, Exchange Server 2010 und Microsoft Live® Communications Server.

UCCs sind mit Shared Hosting kompatibel. In den Informationen zum Site-Siegel und zum Zertifikat "Ausgestellt für" wird jedoch nur der primäre Domänenname aufgeführt. Beachten Sie, dass alle sekundären Hosting-Konten auch im Zertifikat aufgeführt werden. Wenn Sie also nicht möchten, dass Websites miteinander verbunden sind, sollten Sie diesen Zertifikatstyp nicht verwenden.

Der Hauptnachteil von UCC ist, dass Sie alle Ihre Domains im Voraus auflisten müssen (Wildcards erfordern dies nicht). Sollte sich die Liste jemals ändern, müssen Sie ein neues Zertifikat erhalten. Übrigens bietet Namecheap (nur eines, von dem ich weiß, dass es das tut) einen Extended Validation UCC an (Sie zahlen pro Domain, was bedeutet, dass ein 100-Domain-Zertifikat SEHR teuer ist). Dies ist die einzige Möglichkeit, ein EV-Zertifikat für mehr als eine Domain zu haben , da niemand EV Wildcards anbietet.

Das ist eine berechtigte Frage. Leider beabsichtigten die Protokolle meines Wissens niemals, dass der Besitzer einer Domain Zertifikate nur für Subdomains signieren konnte.

Sie sind entweder eine Zertifizierungsstelle für alles oder nichts. Sobald Sie eine Zertifizierungsstelle sind, gibt es keine Einschränkung des Geltungsbereichs.

Blöd aber so ist das halt. Kaufen Sie einfach ein separates Zertifikat für jede einzelne Domain, die Sie besitzen, und zwar für jede einzelne. Versuchen Sie also nicht, die von Ihnen verkauften eingebetteten Geräte zu sichern.