Skip to main content

Allgemeiner Name (CN) für ein Wildcard-Zertifikat

Ein Wildcard-SSL-Zertifikat wird als Option in Betracht gezogen, wenn mehrere Subdomänen innerhalb derselben Domäne gesichert werden sollen. Diese Zertifikate, die ein Wildcard-Zeichen (*) im Feld für den Domänennamen verwenden, sichern zahlreiche Subdomänen (Hosts), die mit derselben Basis-Domäne verbunden sind.

Hinweis

The Common Name for wildcard certificates always starts with an asterisk and dot (*.). For example, *.(domainname).com

Ein Standard-Wildcard-Zertifikat, das auf *.domain.com ausgestellt ist, sichert z. B. www.domain.com, mail.domain.com, info.domain.com usw., aber nicht mail.test.com.

Anmerkung

Der Subject Alternative Name (SAN) muss eine Wildcard-Domäne sein (z. B. *.ihredomain.com) oder auf Ihren aufgeführten Wildcard-Domänen basieren. Wenn eine Ihrer Wildcard-Domänen zum Beispiel *.example.com ist, können Sie www.example.com verwenden, aber nicht mail.secure.com. Eine Ausnahme bildet das Secure Site Pro SSL-Zertifikat, das beide Domänen absichert.

Zertifikatsinstallation auf Webservern basierend auf Allgemeinen Namen

Standardmäßig wird angenommen, dass das angeforderte Zertifikat für alle passenden Domänen installiert wird. Für jeden von DigiCert unterstützten Webserver gibt es jedoch einige Regeln, die erfordern, dass das Zertifikat nur für die qualifizierten Domänen installiert wird.

Nginx

Wenn die Automatisierungsanforderung eintrifft, findet der Server die passenden Serverblöcke basierend auf dem in der Anforderung verwendeten Allgemeinen Namen oder SAN.

Nginx vergleicht den server_name mit dem Allgemeinen Namen (CN) oder SAN in der Anforderung.

Falls ein übereinstimmender server_name in der Menge der Serverblöcke gefunden wird, werden alle Serverblöcke, die übereinstimmen, gesichert.

Beispiel:

server {
        server_name 8010.abc-example.com *.abc-example.com;
        listen 123.123.123.123:8010 ;
}

server {
        server_name   8020.abc-example.com *.mail.abc-example.com ;
       listen 123.123.123.123:8020 ;
}
server {
        server_name   8030.abc-example.com *.abc-example.com ;
       listen 123.123.123.123:8030 ;
}

Im obigen Beispiel, wenn Sie die Automatisierung anfordern für:

  1. CN=*.abc-example.com – Sichert beide Serverblöcke mit Port 8010 und 8030.

  2. CN=*.mail.abc-example.com – Sichert nur den Serverblock mit Port 8020.

  3. Cn={8010/8020/8030}.abc-example.com – sichert nur den entsprechenden Serverblock.

  4. CN=*.abc-example.com und SAN=*.mail.abc-example.com – Sichert alle Serverblöcke.

Apache

Wenn die Automatisierungsanfrage eintrifft, findet der Server die passenden <VirtualHost>-Blöcke basierend auf dem in der Anfrage verwendeten Allgemeinen Namen (CN) oder SAN.

Apache vergleicht ServerName und ServerAlias mit dem CN oder SAN in der Anfrage.

Falls ein übereinstimmender ServerName oder ServerAlias in der Menge der virtuellen Hosts gefunden wird, werden alle übereinstimmenden virtuellen Hostblöcke gesichert.

Beispiel:

Listen 551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com  securemail.abc-example.com
</VirtualHost>

Im obigen Beispiel, wenn Sie die Automatisierung anfordern für:

  1. CN=*.abc-example.com – Sichert beide VirtualHost-Blöcke mit Port 552 und 553.

  2. CN=*.mail.abc-example.com – Sichert nur den VirtualHost-Block mit Port 551.

  3. Cn={551/552/553}.abc-example.com – sichert nur den entsprechenden virtuellen Host-Block.

  4. CN=*.abc-example.com und SAN=*.mail.abc-example.com – Sichert alle VirtualHost-Blöcke.

IIS

Der IIS-Server sucht nicht nach übereinstimmenden Allgemeinen Namen (CNs) oder SANs, die im Automatisierungsantrag verwendet werden. Das Zertifikat wird nur für die angeforderte IP-Adresse und den Port installiert.

Beispiel:

IP/Port: 123.123.123.123: 401
Common name: *.example.com

IP/Port: 125.125.125.125: 402
Common name: *.abc.example.com
SANs: *.mail.example.com

IP/Port: 127.127.127.127: 403
Common name: *secure.example.com
SANs: *.example.com

Im obigen Beispiel, wenn Sie die Automatisierung anfordern für:

  1. IP/Port=123.123.123.123: 401, CN=*.example.com – Sichert nur 123.123.123.123: 401 IP-Adresse und Port.

  2. IP/Port=125.125.125.125: 402, Cn=*.example.com, SAN=*.mail.example.com – Sichert nur 125.125.125.125: 402 IP-Adresse und Port.

  3. IP/Port=127.127.127.127: 403, CN=*secure.example.com, SAN=*.example.com – Sichert nur 127.127.127.127: 403 IP-Adresse und Port.

Tomcat

Wenn die Automatisierungsanfrage eintrifft, findet der Server die passenden Konnektor-Blöcke basierend auf den in der Anfrage verwendeten Allgemeinen Namen (CNs) oder SANs.

Tomcat vergleicht den SSLHostConfig hostName mit dem in der Anfrage vorhandenen Allgemeinen Namen (CN) oder SAN.

Wenn ein übereinstimmender SSLHostConfig HostName in der Menge der Serverblöcke gefunden wird, werden alle Serverblöcke, die übereinstimmen, gesichert.

Beispiel:

http to https Automation

<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.abc.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.secure.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.login.example.com">  </SSLHostConfig>
    </Connector>

Im obigen Beispiel, wenn Sie die Automatisierung anfordern für:

<Connector port="8082" connectionTimeout="20000" protocol="HTTP/1.1" defaultSSLHostConfigName="*.avp.cert-testing.com" 
SSLEnabled="true">                   
    <SSLHostConfig hostName="*.avp.cert-testing.com">      
    <Certificate
     certificateKeyFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\privkey.pem"
     certificateFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\cert.pem"
     type="RSA"/>
     </SSLHostConfig>
</Connector>

In the above examples, when you request automation for:

  1. CN=*.abc.example.com – Sichert nur die Konnektorblöcke für Port 182.

  2. CN=*.example.com – Sichert nur den Konnektorblock mit Port 183.

  3. CN=*example.com - Sichert alle Konnektorblöcke.

  4. CN=*.secure.example.com und SAN=*.secure.example.com, *.blog.example.com, abc.example.com, *.login.example.com – Sichert nur den Konnektorblock für Port 184.

Hinweis

Für eine erfolgreiche Automatisierung müssen alle SSLHostConfig-Blöcke innerhalb eines Konnektors ein Zertifikat installiert haben.

CN=*.example.com und SAN=*.mail.test.com

<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.test.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

IBM

Wenn die Automatisierungsanfrage eintrifft, findet der Server die passenden VirtualHost-Blöcke basierend auf den in der Anfrage verwendeten Allgemeinen Namen (CNs) oder SANs.

IBM Server vergleicht ServerName und ServerAlias mit den Allgemeinen Namen (CNs) oder SANs in der Anfrage.

Falls ein übereinstimmender ServerName oder ServerAlias in der Menge der virtuellen Hosts gefunden wird, werden alle übereinstimmenden virtuellen Hostblöcke gesichert.

Beispiel:

Listen 125.125.125.125:551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 125.125.125.125:552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 125.125.125.125:553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com securemail.abc-example.com
</VirtualHost>

Im obigen Beispiel, wenn Sie die Automatisierung anfordern für:

  1. CN=*.abc-example.com – Sichert beide VirtualHost-Blöcke mit Port 552 und 553.

  2. CN=*.mail.abc-example.com – Sichert nur den VirtualHost-Block mit Port 551.

  3. Cn={551/552/553}.abc-example.com – sichert nur den entsprechenden virtuellen Host-Block.

  4. CN=*.abc-example.com und SAN=*.mail.abc-example.com – Sichert alle VirtualHost-Blöcke.

  5. CN=551.abc-example.com und SAN=securemail.abc.com – Sichert nur die VirtualHost-Blöcke mit Port 551 und 553.