Nome comum (CN) para um certificado wildcard

Um certificado SSL wildcard é considerado uma opção ao procurar proteger vários subdomínios dentro do mesmo nome de domínio. Esses certificados, usando um caractere wildcard (*) no campo de nome de domínio, protegem vários subdomínios (hosts) vinculados ao mesmo domínio base.

O nome comum para certificados wildcard sempre começa com um asterisco e um ponto (*.).

*.(nomedomínio).com

Por exemplo, um certificado wildcard padrão emitido para *.domínio.com protegerá www.domínio.com, mail.domínio.com, info.domínio.com, etc., mas não protegerá mail.teste.com.

Nome alternativo do assunto (SAN) deve ser um domínio wildcard (por exemplo, *.seudominio.com) ou baseado em seus domínios wildcard listados. Por exemplo, se um dos seus domínios wildcard for *.exemplo.com, você poderá usar www.exemplo.com ou www.app.exemplo.com, mas não mail.seguro.com. Uma exceção ao certificado SSL do Secure Site Pro que protege ambos os domínios.

Instalação de certificado em servidores web com base em CNs

Por padrão, presume-se que o certificado solicitado esteja instalado em todos os domínios correspondentes. No entanto, para cada servidor da web compatível com DigiCert, existem algumas regras que exigem que o certificado seja instalado apenas nos domínios qualificados.

Nginx

Quando a solicitação de automação chega, o servidor encontra os blocos de servidor correspondentes com base no CN ou SAN usado na solicitação.

O Nginx compara o server_name ao CN ou SAN presente na solicitação.

Se a correspondência server_name for encontrada no conjunto de blocos de servidor, todos os blocos de servidor correspondentes serão protegidos.

Por exemplo:

generic
server {
        server_name 8010.abc-example.com *.abc-example.com;
        listen 123.123.123.123:8010 ;
}

server {
        server_name   8020.abc-example.com *.mail.abc-example.com ;
       listen 123.123.123.123:8020 ;
}
server {
        server_name   8030.abc-example.com *.abc-example.com ;
       listen 123.123.123.123:8030 ;
}

No exemplo acima, quando você solicita automação para:

  1. CN=*.abc-exemplo.com - Protege os blocos de servidor da porta 8010 e 8030.
  2. CN=*.mail.abc-exemplo.com - Protege apenas o bloco de servidor da porta 8020.
  3. CN={8010/8020/8030}.abc-exemplo.com - Protege apenas o respectivo bloco de servidor.
  4. CN=*.abc-exemplo.com e SAN=*.mail.abc-exemplo.com - Protege todos os blocos de servidor.

Apache

Quando a solicitação de automação chega, o servidor encontra os blocos <VirtualHost> correspondentes com base no CN ou SAN usado na solicitação.

O Apache compara ServerName e ServerAlias ao CN ou SAN presente na solicitação.

Se ServerName ou ServerAlias correspondente for encontrado no conjunto de hosts virtuais, todos os blocos de host virtual correspondentes serão protegidos.

Por exemplo:

generic
Listen 551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com  securemail.abc-example.com
</VirtualHost>

No exemplo acima, quando você solicita automação para:

  1. CN=*.abc-exemplo.com - Protege os blocos de host virtual da porta 552 e 553.
  2. CN=*.mail.abc-exemplo.com - Protege apenas o bloco de host virtual da porta 551.
  3. CN={551/552/553}.abc-exemplo.com - Protege apenas o respectivo bloco de host virtual.
  4. CN=*.abc-exemplo.com e SAN=*.mail.abc-exemplo.com - Protege todos os blocos de host virtual.

IIS

O servidor IIS não procura por CN ou SAN correspondentes usados na solicitação de automação. O certificado só será instalado no endereço IP e na porta solicitados.

Por exemplo:

generic
IP/Port: 123.123.123.123: 401
Common name: *.example.com

IP/Port: 125.125.125.125: 402
Common name: *.abc.example.com
SANs: *.mail.example.com

IP/Port: 127.127.127.127: 403
Common name: *secure.example.com
SANs: *.example.com

No exemplo acima, quando você solicita automação para:

  1. IP/porta=123.123.123.123: 401, CN=*.exemplo.com – Protege somente 123.123.123.123: 401 Endereço IP e porta.
  2. IP/porta=125.125.125.125: 402, CN=*.exemplo.com, SAN=*.mail.exemplo.com - Protege apenas 125.125.125.125: 402 Endereço IP e porta.
  3. IP/porta=127.127.127.127: 403, CN=*secure.exemplo.com, SAN=*.exemplo.com - Protege apenas 127.127.127.127: 403 Endereço IP e porta.

Tomcat

Quando a solicitação de automação chega, o servidor encontra os blocos de <Conector> correspondentes com base no CN e/ou SAN usados na solicitação.

O Tomcat compara o SSLHostConfig hostName ao CN e/ou SAN presente na solicitação.

Se o nome do host SSLHostConfig correspondente for encontrado no conjunto de blocos de conectores, todos os blocos correspondentes serão protegidos.

Por exemplo:

generic
<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.abc.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.secure.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.login.example.com">  </SSLHostConfig>
    </Connector>

No exemplo acima, quando você solicita automação para:

  1. CN=*.abc.exemplo.com - Protege apenas blocos de conectores de porta 182.
  2. CN=*.exemplo.com - Protege apenas o bloco do conector da porta 183.
  3. CN=*exemplo.com - Protege todos os blocos de conectores.
  4. CN=*.secure.exemplo.com e SAN=*.secure.exemplo.com, *.blog.exemplo.com, abc.exemplo.com, *.login.exemplo.com - Protege apenas o bloco do conector da porta 184.

Para uma automação bem-sucedida, todos os blocos SSLHostConfig em um conector devem ter um certificado instalado.

Por exemplo, para automatizar e instalar com sucesso os certificados em todos os blocos SSLHostConfig, você deve colocar a solicitação de automação com:

CN=*.exemplo.com e SAN=*.mail.teste.com

generic
<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.test.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

IBM

Quando a solicitação de automação chega, o servidor encontra os blocos <VirtualHost> correspondentes com base no CN ou SAN usado na solicitação.

O servidor IBM compara ServerName e ServerAlias ao CN ou SAN presente na solicitação.

Se ServerName ou ServerAlias correspondente for encontrado no conjunto de hosts virtuais, todos os blocos de host virtual correspondentes serão protegidos.

Por exemplo:

generic
Listen 125.125.125.125:551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 125.125.125.125:552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 125.125.125.125:553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com securemail.abc-example.com
</VirtualHost>

No exemplo acima, quando você solicita automação para:

  1. CN=*.abc-exemplo.com – Protege bloqueios de host virtuais da porta 552 e 553   .
  2. CN=*.mail.abc-exemplo.com - Protege apenas o bloco de host virtual da porta 551.
  3. CN={551/552/553}.abc-exemplo.com - Protege apenas o respectivo bloco de host virtual.
  4. CN=*.abc-exemplo.com e SAN=*.mail.abc-exemplo.com - Protege todos os blocos de host virtual.
  5. CN=551.abc-exemplo.com e SAN=securemail.abc.com - Protege apenas os blocos de host virtual das portas 551 e 553.