Skip to main content

Algemene namen voor wildcard-certificaten

Een wildcard SSL-certificaat is een optie wanneer u meerdere subdomeinen binnen dezelfde domeinnaam wilt beveiligen. Deze certificaten, die een wildcard-teken (*) in het domeinnaamveld hebben, kunnen een groot aantal subdomeinen (hosts) beveiligen die zijn gekoppeld aan hetzelfde basisdomein.

Let op

The Common Name for wildcard certificates always starts with an asterisk and dot (*.). For example, *.(domainname).com

Een standaard wildcard-certificaat dat is uitgegeven voor *.domein.nl zal bijvoorbeeld wel www.domein.nl, mail.domein.nl en info.domein.nl beveiligen, maar niet mail.test.nl.

Opmerking

De alternatieve onderwerpnaam (Subject Alternative Name, SAN) moet een wildcard-domein zijn (bijvoorbeeld *.uwdomein.com) of zijn gebaseerd op uw vermelde wildcard-domeinen. Als een van uw wildcard-domeinen *.example.com is, kunt u dus wel www.example.com gebruiken, maar niet mail.secure.com. Een uitzondering is een Secure Site Pro SSL-certificaat dat beide domeinen beveiligt.

Certificaten op webservers installeren op basis van algemene namen

Normaal gesproken is de veronderstelling dat het aangevraagde certificaat wordt geïnstalleerd in alle overeenkomende domeinen. Voor alle door DigiCert ondersteunde webservers zijn er echter regels die vereisen dat het certificaat alleen wordt geïnstalleerd op de gekwalificeerde domeinen.

Nginx

Wanneer een automatiseringsaanvraag wordt ontvangen, zoekt de server de overeenkomende serverblokken aan de hand van de CN of SAN die in de aanvraag is vermeld.

Nginx vergelijkt de server_name met de in de aanvraag vermelde CN of SAN.

Als er een overeenkomende server_name wordt gevonden in de reeks serverblokken, dan worden alle overeenkomende serverblokken beveiligd.

Bijvoorbeeld:

server {
        server_name 8010.abc-example.com *.abc-example.com;
        listen 123.123.123.123:8010 ;
}

server {
        server_name   8020.abc-example.com *.mail.abc-example.com ;
       listen 123.123.123.123:8020 ;
}
server {
        server_name   8030.abc-example.com *.abc-example.com ;
       listen 123.123.123.123:8030 ;
}

Wanneer u in het bovenstaande voorbeeld automatisering aanvraagt voor:

  1. CN = *.abc-example.com – serverblokken op poort 8010 en poort 8030 worden beveiligd.

  2. CN = *.mail.abc-example.com – alleen serverblok op poort 8020 wordt beveiligd.

  3. CN={8010/8020/8030}.abc-example.com – alleen het desbetreffende serverblok wordt beveiligd.

  4. CN = *.abc-example.com en SAN = *.mail.abc-example.com – alle serverblokken worden beveiligd.

Apache

Wanneer een automatiseringsaanvraag wordt ontvangen, zoekt de server de overeenkomende <VirtualHost-blokken aan de hand van de CN of SAN die in de aanvraag is vermeld.

Apache vergelijkt de ServerName en ServerAlias met de in de aanvraag vermelde CN of SAN.

Als er een overeenkomende ServerName of ServerAlias wordt gevonden in de set virtuele hosts, dan worden alle overeenkomende blokken virtuele hosts beveiligd.

Bijvoorbeeld:

Listen 551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com  securemail.abc-example.com
</VirtualHost>

Wanneer u in het bovenstaande voorbeeld automatisering aanvraagt voor:

  1. CN=*.abc-example.com – virtuele hostblokken op poort 552 en poort 553 worden beveiligd.

  2. CN=*.mail.abc-example.com – alleen virtueel hostblok op poort 551 wordt beveiligd.

  3. CN={551/552/553}.abc-example.com – alleen het desbetreffende virtuele hostblok wordt beveiligd.

  4. CN=*.abc-example.com en SAN= *.mail.abc-example.com – alle virtuele hostblokken worden beveiligd.

IIS

De IIS-server zoekt niet naar overeenkomende CN's of SAN's in de automatiseringsaanvraag. Het certificaat wordt alleen geïnstalleerd op het gevraagde IP-adres en de gevraagde poort.

Bijvoorbeeld:

IP/Port: 123.123.123.123: 401
Common name: *.example.com

IP/Port: 125.125.125.125: 402
Common name: *.abc.example.com
SANs: *.mail.example.com

IP/Port: 127.127.127.127: 403
Common name: *secure.example.com
SANs: *.example.com

Wanneer u in het bovenstaande voorbeeld automatisering aanvraagt voor:

  1. IP/Port=123.123.123.123: 401, CN = *.example.com – alleen IP-adres/poort 123.123.123.123: 401 wordt beveiligd.

  2. IP/Port=125.125.125.125: 402, CN = *.example.com, SAN = *.mail.example.com – alleen IP-adres/poort 125.125.125.125: 402 wordt beveiligd.

  3. IP/Port=127.127.127.127: 403, CN = *secure.example.com, SAN = *.example.com – alleen IP-adres/poort 127.127.127.127: 403 wordt beveiligd.

Tomcat

Wanneer een automatiseringsaanvraag wordt ontvangen, zoekt de server de overeenkomende Connector-blokken aan de hand van de in de aanvraag vermelde CN's en/of SAN's.

Tomcat vergelijkt de SSLHostConfig hostName met de CN en/of SAN uit de aanvraag.

Als de overeenkomende SSLHostConfig hostName wordt gevonden in de set connectorblokken, worden alle overeenkomende blokken beveiligd.

Bijvoorbeeld:

http to https Automation

<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.abc.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.secure.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.login.example.com">  </SSLHostConfig>
    </Connector>

Wanneer u in het bovenstaande voorbeeld automatisering aanvraagt voor:

<Connector port="8082" connectionTimeout="20000" protocol="HTTP/1.1" defaultSSLHostConfigName="*.avp.cert-testing.com" 
SSLEnabled="true">                   
    <SSLHostConfig hostName="*.avp.cert-testing.com">      
    <Certificate
     certificateKeyFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\privkey.pem"
     certificateFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\cert.pem"
     type="RSA"/>
     </SSLHostConfig>
</Connector>

In the above examples, when you request automation for:

  1. CN=*.abc.example.com – alleen connectorblok op poort 182 wordt beveiligd.

  2. CN=*.example.com – alleen connectorblok op poort 183 wordt beveiligd.

  3. CN=*example.com – alle connectorblokken worden beveiligd.

  4. CN = *.secure.example.com en SAN = *.secure.example.com, *.blog.example.com, abc.example.com, *.login.example.com – alleen connectorblok op poort 184 wordt beveiligd.

Let op

Om succesvolle automatisering mogelijk te maken, moet er voor alle SSLHostConfig-blokken binnen een connector een certificaat zijn geïnstalleerd.

CN=*.example.com en SAN = *.mail.test.com

<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.test.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

IBM

Wanneer een automatiseringsaanvraag wordt ontvangen, zoekt de server de overeenkomende <VirtualHost>-blokken aan de hand van de CN's of SAN's gebruikt in de aanvraag.

IBM Server vergelijkt de ServerName en de ServerAlias met de CN's of SAN's uit de aanvraag.

Als er een overeenkomende ServerName of ServerAlias wordt gevonden in de set virtuele hosts, dan worden alle overeenkomende blokken virtuele hosts beveiligd.

Bijvoorbeeld:

Listen 125.125.125.125:551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 125.125.125.125:552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 125.125.125.125:553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com securemail.abc-example.com
</VirtualHost>

Wanneer u in het bovenstaande voorbeeld automatisering aanvraagt voor:

  1. CN=*.abc-example.com – virtuele hostblokken op poort 552 en poort 553 worden beveiligd.

  2. CN=*.mail.abc-example.com – alleen virtueel hostblok op poort 551 wordt beveiligd.

  3. CN={551/552/553}.abc-example.com – alleen het desbetreffende virtuele hostblok wordt beveiligd.

  4. CN=*.abc-example.com en SAN= *.mail.abc-example.com – alle virtuele hostblokken worden beveiligd.

  5. CN = 551.abc-example.com en SAN = securemail.abc.com – alleen virtuele hostblokken op poort 551 en 553 worden beveiligd.

In deze sectie: