Un certificato SSL wildcard è considerato un’opzione quando si cerca di proteggere più sottodomini all’interno dello stesso nome dominio. Questi certificati, usando un carattere wildcard (*) nel campo del nome dominio, proteggono numerosi sottodomini (host) collegati allo stesso dominio base.
Avviso
The Common Name for wildcard certificates always starts with an asterisk and dot (*.). For example, *.(domainname).com
Ad esempio, un certificato wildcard standard emesso per *.dominio.com proteggerà www.dominio.com, mail.dominio.com, info.dominio.com, ecc. ma non proteggerà mail.test.com.
Nota
Il nome alternativo del soggetto (SAN) deve essere un dominio wildcard (ad esempio *.iltuodominio.com) o basato sui domini wildcard elencati. Ad esempio, se uno dei domini wildcard è *.esempio.com, puoi utilizzare www.esempio.com, ma non mail.secure.com. Un’eccezione è un certificato Secure Site Pro SSL che protegge entrambi i domini.
Per impostazione predefinita, si presume che il certificato richiesto sia installato in tutti i domini corrispondenti. Tuttavia, per ciascun server web supportato da DigiCert, ci sono regole che richiedono l’installazione del certificato solo sui domini qualificati.
Quando arriva la richiesta automazione, il server trova i blocchi server corrispondenti in base al CN o al SAN usato nella richiesta.
Nginx confronta il server_name con il CN o il SAN presente nella richiesta.
Se il server_name corrispondente viene trovato nel set di blocchi server, tutti i blocchi server che corrispondono saranno protetti.
Ad esempio:
server {
server_name 8010.abc-example.com *.abc-example.com;
listen 123.123.123.123:8010 ;
}
server {
server_name 8020.abc-example.com *.mail.abc-example.com ;
listen 123.123.123.123:8020 ;
}
server {
server_name 8030.abc-example.com *.abc-example.com ;
listen 123.123.123.123:8030 ;
}Nell’esempio sopra, quando richiedi l’automazione per:
CN=*.abc-esempio.com – Protegge i blocchi server delle porte sia 8010 che 8030.
CN=*.mail.abc-esempio.com – Protegge il blocco server solo della porta 8020.
CN={8010/8020/8030}.abc-example.com – Protegge solo il rispettivo blocco server.
CN=*.abc-esempio.com e SAN=*.mail.abc-esempio.com – Protegge tutti i blocchi server.
Quando arriva la richiesta automazione, il server trova i blocchi <VirtualHost> corrispondenti in base al CN o al SAN usato nella richiesta.
Apache confronta il NomeServer e l’AliasServer con il CN o SAN presente nella richiesta.
Se il NomeServer o l’AliasServer corrispondente viene trovato nel set di host virtuali, tutti i blocchi host che corrispondono saranno protetti.
Ad esempio:
Listen 551 <VirtualHost 125.125.125.125:551> ServerName 551.abc-example.com ServerAlias *.mail.abc-example.com </VirtualHost> Listen 552 <VirtualHost 125.125.125.125:552> ServerName 552.abc-example.com ServerAlias *.abc-example.com </VirtualHost> Listen 553 <VirtualHost 125.125.125.125:553> ServerName 553.abc-example.com ServerAlias *.abc-example.com securemail.abc-example.com </VirtualHost>
Nell’esempio sopra, quando richiedi l’automazione per:
CN=*.abc-esempio.com – Protegge i blocchi host virtuali della porta sia 552 che 553.
CN=*.mail.abc-esempio.com – Protegge il blocco host virtuale solo della porta 551.
CN={551/552/553}.abc-example.com – Protegge solo il rispettivo blocco host virtuale.
CN=*.abc-esempio.com e SAN=*.mail.abc-esempio.com – Protegge tutti i blocchi host virtuali.
Il server IIS non cerca CN o SAN corrispondenti usati nella richiesta di automazione. Il certificato sarà installato solo nell’indirizzo IP e nella porta richiesti.
Ad esempio:
IP/Port: 123.123.123.123: 401 Common name: *.example.com IP/Port: 125.125.125.125: 402 Common name: *.abc.example.com SANs: *.mail.example.com IP/Port: 127.127.127.127: 403 Common name: *secure.example.com SANs: *.example.com
Nell’esempio sopra, quando richiedi l’automazione per:
IP/Porta=123.123.123.123: 401, CN=*.esempio.com – Protegge solo 123.123.123.123: indirizzo IP 401 e porta.
IP/Porta=125.125.125.125: 402, CN=*.esempio.com, SAN=*.mail.esempio.com – Protegge solo 125.125.125.125: indirizzo IP 402 e porta.
IP/Porta=127.127.127.127: 403, CN=*secure.esempio.com, SAN=*.esempio.com – Protegge solo 127.127.127.127: indirizzo IP 403 e porta.
Quando arriva la richiesta automazione, il server trova i blocchi <Connettore> corrispondenti in base ai CN o ai SAN usati nella richiesta.
Tomcat confronta il SSLHostConfig hostName con il CN e/o il SAN presenti nella richiesta.
Se il SSLHostConfig Hostname corrispondente viene trovato nel set di blocchi connettori, tutti i blocchi che corrispondono saranno protetti.
Ad esempio:
http to https Automation
<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.abc.example.com"> </SSLHostConfig>
</Connector>
<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.mail.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
</Connector>
<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.secure.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.login.example.com"> </SSLHostConfig>
</Connector>Nell’esempio sopra, quando richiedi l’automazione per:
<Connector port="8082" connectionTimeout="20000" protocol="HTTP/1.1" defaultSSLHostConfigName="*.avp.cert-testing.com"
SSLEnabled="true">
<SSLHostConfig hostName="*.avp.cert-testing.com">
<Certificate
certificateKeyFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\privkey.pem"
certificateFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\cert.pem"
type="RSA"/>
</SSLHostConfig>
</Connector>In the above examples, when you request automation for:
CN=*.abc.esempio.com – Protegge solo i blocchi connettore della porta 182.
CN=*.esempio.com – Protegge solo il blocco connettore della porta 183.
CN=*esempio.com – Protegge tutti i blocchi connettore.
CN=*.secure.esempio.com e SAN=*.secure.esempio.com, *.blog.esempio.com, abc.esempio.com, *.login.esempio.com – Protegge solo il blocco connettore della porta 184.
Avviso
Per un’automazione corretta, tutti i blocchi SSLHostConfig all’interno di un connettore devono avere un certificato installato.
CN=*.esempio.com e SAN=*.mail.test.com
<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
<SSLHostConfig hostName="*.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.mail.test.com"> </SSLHostConfig>
<SSLHostConfig hostName="abc.example.com"> </SSLHostConfig>
<SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig>
</Connector>Quando arriva la richiesta di automazione, il server trova i blocchi < VirtualHost> corrispondenti in base ai CN o ai SAN usati nella richiesta.
Il server IBM confronta il NomeServer e l’AliasServer con i CN o i SAN presenti nella richiesta.
Se il NomeServer o l’AliasServer corrispondente viene trovato nel set di host virtuali, tutti i blocchi host che corrispondono saranno protetti.
Ad esempio:
Listen 125.125.125.125:551 <VirtualHost 125.125.125.125:551> ServerName 551.abc-example.com ServerAlias *.mail.abc-example.com </VirtualHost> Listen 125.125.125.125:552 <VirtualHost 125.125.125.125:552> ServerName 552.abc-example.com ServerAlias *.abc-example.com </VirtualHost> Listen 125.125.125.125:553 <VirtualHost 125.125.125.125:553> ServerName 553.abc-example.com ServerAlias *.abc-example.com securemail.abc-example.com </VirtualHost>
Nell’esempio sopra, quando richiedi l’automazione per:
CN=*.abc-esempio.com – Protegge i blocchi host virtuali della porta sia 552 che 553.
CN=*.mail.abc-esempio.com – Protegge il blocco host virtuale solo della porta 551.
CN={551/552/553}.abc-example.com – Protegge solo il rispettivo blocco host virtuale.
CN=*.abc-esempio.com e SAN=*.mail.abc-esempio.com – Protegge tutti i blocchi host virtuali.
CN=551.abc-esempio.com e SAN=securemail.abc.com – Protegge i blocchi host virtuali solo della porta 551 e 553.