Allgemeiner Name (CN) für ein Wildcard-Zertifikat

Ein Wildcard-SSL-Zertifikat wird als Option in Betracht gezogen, wenn mehrere Subdomänen innerhalb derselben Domäne gesichert werden sollen. Diese Zertifikate, die ein Wildcard-Zeichen (*) im Feld für den Domänennamen verwenden, sichern zahlreiche Subdomänen (Hosts), die mit derselben Basis-Domäne verbunden sind.

Der Allgemeine Name für Wildcard-Zertifikate beginnt immer mit einem Stern und einem Punkt (*.).

*.(domainname).com

Ein Standard-Wildcard-Zertifikat, das auf *.domain.com ausgestellt ist, sichert z. B. www.domain.com, mail.domain.com, info.domain.com usw., aber nicht mail.test.com.

Der Subject Alternative Name (SAN) muss eine Wildcard-Domäne sein (z. B. *.ihredomain.com) oder auf Ihren aufgeführten Wildcard-Domänen basieren. Wenn eine Ihrer Wildcard-Domänen zum Beispiel *.example.com ist, können Sie www.example.com oder www.app.example.com verwenden, aber nicht mail.secure.com. Eine Ausnahme bildet das Secure Site Pro SSL-Zertifikat, das beide Domänen absichert.

Zertifikatsinstallation auf Webservern basierend auf Allgemeinen Namen

Standardmäßig wird angenommen, dass das angeforderte Zertifikat für alle passenden Domänen installiert wird. Für jeden von DigiCert unterstützten Webserver gibt es jedoch einige Regeln, die erfordern, dass das Zertifikat nur für die qualifizierten Domänen installiert wird.

Nginx

Wenn die Automatisierungsanforderung eintrifft, findet der Server die passenden Serverblöcke basierend auf dem in der Anforderung verwendeten Allgemeinen Namen oder SAN.

Nginx vergleicht den server_name mit dem in der Anfrage vorhandenen Allgemeinen Namen (CN) oder SAN.

Wenn ein übereinstimmender server_name in der Menge der Serverblöcke gefunden wird, werden alle Serverblöcke, die übereinstimmen, gesichert.

Beispiel:

generic
server {
        server_name 8010.abc-example.com *.abc-example.com;
        listen 123.123.123.123:8010 ;
}

server {
        server_name   8020.abc-example.com *.mail.abc-example.com ;
       listen 123.123.123.123:8020 ;
}
server {
        server_name   8030.abc-example.com *.abc-example.com ;
       listen 123.123.123.123:8030 ;
}

Im obigen Beispiel, wenn Sie die Automatisierung anfordern für:

  1. CN=*.abc-example.com – Sichert beide Serverblöcke mit Port 8010 und 8030.
  2. CN=*.mail.abc-example.com – Sichert nur den Serverblock mit Port 8020.
  3. CN={8010/8020/8030}.abc-example.com – Sichert nur den entsprechenden Serverblock.
  4. CN=*.abc-example.com und SAN=*.mail.abc-example.com – Sichert alle Serverblöcke.

Apache

Wenn die Automatisierungsanfrage eintrifft, findet der Server die passenden <VirtualHost>-Blöcke basierend auf dem in der Anfrage verwendeten Allgemeinen Namen (CN) oder SAN.

Apache vergleicht ServerName und ServerAlias mit dem Allgemeinen Namen (CN) oder SAN in der Anfrage.

Wenn ein übereinstimmender ServerName oder ServerAlias in der Menge der virtuellen Hosts gefunden wird, werden alle übereinstimmenden virtuellen Hostblöcke gesichert.

Beispiel:

generic
Listen 551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com  securemail.abc-example.com
</VirtualHost>

Im obigen Beispiel, wenn Sie die Automatisierung anfordern für:

  1. CN=*.abc-example.com – Sichert beide VirtualHost-Blöcke mit Port 552 und 553.
  2. CN=*.mail.abc-example.com – Sichert nur den VirtualHost-Block mit Port 551.
  3. CN={551/552/553}.abc-example.com – Sichert nur den entsprechenden VirtualHost-Block.
  4. CN=*.abc-example.com und SAN=*.mail.abc-example.com – Sichert alle VirtualHost-Blöcke.

IIS

Der IIS-Server sucht nicht nach übereinstimmenden Allgemeinen Namen (CN) oder SANs, die im Automatisierungsantrag verwendet werden. Das Zertifikat wird nur für die angeforderte IP-Adresse und den Port installiert.

Beispiel:

generic
IP/Port: 123.123.123.123: 401
Common name: *.example.com

IP/Port: 125.125.125.125: 402
Common name: *.abc.example.com
SANs: *.mail.example.com

IP/Port: 127.127.127.127: 403
Common name: *secure.example.com
SANs: *.example.com

Im obigen Beispiel, wenn Sie die Automatisierung anfordern für:

  1. IP/Port=123.123.123.123: 401, CN=*.example.com – Sichert nur 123.123.123.123: 401 IP-Adresse und Port.
  2. IP/Port=125.125.125.125: 402, Cn=*.example.com, SAN=*.mail.example.com – Sichert nur 125.125.125.125: 402 IP-Adresse und Port.
  3. IP/Port=127.127.127.127: 403, CN=*secure.example.com, SAN=*.example.com – Sichert nur 127.127.127.127: 403 IP-Adresse und Port.

Tomcat

Wenn die Automatisierungsanfrage eintrifft, findet der Server die passenden <Connector>-Blöcke basierend auf dem in der Anfrage verwendeten Allgemeinen Namen oder SAN.

Tomcat vergleicht den SSLHostConfig hostName mit dem in der Anfrage vorhandenen Allgemeinen Namen (CN) oder SAN.

Wenn ein übereinstimmender SSLHostConfig hostName in der Menge der Serverblöcke gefunden wird, werden alle Serverblöcke, die übereinstimmen, gesichert.

Beispiel:

generic
<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.abc.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.secure.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.login.example.com">  </SSLHostConfig>
    </Connector>

Im obigen Beispiel, wenn Sie die Automatisierung anfordern für:

  1. CN=*.abc.example.com – Sichert nur die Konnektorblöcke für Port 182.
  2. CN=*.example.com – Sichert nur den Konnektorblock mit Port 183.
  3. CN=*example.com - Sichert alle Konnektorblöcke.
  4. CN=*.secure.example.com und SAN=*.secure.example.com, *.blog.example.com, abc.example.com, *.login.example.com – Sichert nur den Konnektorblock für Port 184.

Für eine erfolgreiche Automatisierung müssen alle SSLHostConfig-Blöcke innerhalb eines Konnektors ein Zertifikat installiert haben.

Um z. B. die Zertifikate in allen SSLHostConfig-Blöcken erfolgreich zu automatisieren und zu installieren, müssen Sie die Automatisierungsanforderung erstellen mit:

CN=*.example.com und SAN=*.mail.test.com

generic
<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.test.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

IBM

Wenn die Automatisierungsanfrage eintrifft, findet der Server die passenden <VirtualHost>-Blöcke basierend auf dem in der Anfrage verwendeten Allgemeinen Namen (CN) oder SAN.

IBM Server vergleicht ServerName und ServerAlias mit dem Allgemeinen Namen (CN) oder SAN in der Anfrage.

Wenn ein übereinstimmender ServerName oder ServerAlias in der Menge der virtuellen Hosts gefunden wird, werden alle übereinstimmenden virtuellen Hostblöcke gesichert.

Beispiel:

generic
Listen 125.125.125.125:551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 125.125.125.125:552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 125.125.125.125:553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com securemail.abc-example.com
</VirtualHost>

Im obigen Beispiel, wenn Sie die Automatisierung anfordern für:

  1. CN=*.abc-example.com – Sichert Port 552 und 553 virtual host Blöcke.
  2. CN=*.mail.abc-example.com – Sichert nur den VirtualHost-Block mit Port 551.
  3. CN={551/552/553}.abc-example.com – Sichert nur den entsprechenden VirtualHost-Block.
  4. CN=*.abc-example.com und SAN=*.mail.abc-example.com – Sichert alle VirtualHost-Blöcke.
  5. CN=551.abc-example.com und SAN=securemail.abc.com – Sichert nur die VirtualHost-Blöcke mit Port 551 und 553.