Nome comum (CN) para um certificado wildcard
Um certificado SSL wildcard é considerado uma opção ao procurar proteger vários subdomínios dentro do mesmo nome de domínio. Esses certificados, usando um caractere wildcard (*) no campo de nome de domínio, protegem vários subdomínios (hosts) vinculados ao mesmo domínio base.
Aviso
The Common Name for wildcard certificates always starts with an asterisk and dot (*.). For example, *.(domainname).com
Por exemplo, um certificado wildcard padrão emitido para *.domínio.com protegerá www.domínio.com, mail.domínio.com, info.domínio.com, etc., mas não protegerá mail.teste.com.
Nota
Nome alternativo do assunto (SAN) deve ser um domínio wildcard (por exemplo, *.seudomínio.com) ou baseado em seus domínios wildcard listados. Por exemplo, se um de seus domínios curinga for *.exemplo.com, você poderá usar www.exemplo.com, mas não mail.secure.com. Uma exceção ao certificado Secure Site Pro SSL que protege ambos os domínios.
Instalação de certificado em servidores web com base em CNs
Por padrão, presume-se que o certificado solicitado esteja instalado em todos os domínios correspondentes. No entanto, para cada servidor da web compatível com DigiCert, existem algumas regras que exigem que o certificado seja instalado apenas nos domínios qualificados.
Nginx
Quando a solicitação de automação chega, o servidor encontra os blocos de servidor correspondentes com base no CN ou SAN usado na solicitação.
O Nginx compara o server_name com o CN ou SAN presente na solicitação.
Se um server_name correspondente for encontrado no conjunto de blocos de servidor, todos os blocos de servidor correspondentes serão protegidos.
Por exemplo:
server { server_name 8010.abc-example.com *.abc-example.com; listen 123.123.123.123:8010 ; } server { server_name 8020.abc-example.com *.mail.abc-example.com ; listen 123.123.123.123:8020 ; } server { server_name 8030.abc-example.com *.abc-example.com ; listen 123.123.123.123:8030 ; }
No exemplo acima, quando você solicita automação para:
CN=*.abc-exemplo.com - Protege os blocos de servidor da porta 8010 e 8030.
CN=*.mail.abc-exemplo.com - Protege apenas o bloco de servidor da porta 8020.
CN={8010/8020/8030}.abc-exemplo.com – Protege apenas o respectivo bloco de servidor.
CN=*.abc-exemplo.com e SAN=*.mail.abc-exemplo.com - Protege todos os blocos de servidor.
Apache
Quando a solicitação de automação chega, o servidor encontra os blocos <VirtualHost> correspondentes com base no CN ou SAN usado na solicitação.
O Apache compara o ServerName e ServerAlias com o CN ou SAN presente na solicitação.
Se um ServerName ou ServerAlias correspondente for encontrado no conjunto de hosts virtuais, todos os blocos de hosts virtuais correspondentes serão protegidos.
Por exemplo:
Listen 551 <VirtualHost 125.125.125.125:551> ServerName 551.abc-example.com ServerAlias *.mail.abc-example.com </VirtualHost> Listen 552 <VirtualHost 125.125.125.125:552> ServerName 552.abc-example.com ServerAlias *.abc-example.com </VirtualHost> Listen 553 <VirtualHost 125.125.125.125:553> ServerName 553.abc-example.com ServerAlias *.abc-example.com securemail.abc-example.com </VirtualHost>
No exemplo acima, quando você solicita automação para:
CN=*.abc-exemplo.com - Protege os blocos de host virtual da porta 552 e 553.
CN=*.mail.abc-exemplo.com - Protege apenas o bloco de host virtual da porta 551.
CN={551/552/553}.abc-exemplo.com – Protege apenas o respectivo bloco de host virtual.
CN=*.abc-exemplo.com e SAN=*.mail.abc-exemplo.com - Protege todos os blocos de host virtual.
IIS
O servidor IIS não procura por CN ou SAN correspondentes usados na solicitação de automação. O certificado só será instalado no endereço IP e na porta solicitados.
Por exemplo:
IP/Port: 123.123.123.123: 401 Common name: *.example.com IP/Port: 125.125.125.125: 402 Common name: *.abc.example.com SANs: *.mail.example.com IP/Port: 127.127.127.127: 403 Common name: *secure.example.com SANs: *.example.com
No exemplo acima, quando você solicita automação para:
IP/porta=123.123.123.123: 401, CN=*.exemplo.com – Protege somente 123.123.123.123: 401 Endereço IP e porta.
IP/porta=125.125.125.125: 402, CN=*.exemplo.com, SAN=*.mail.exemplo.com - Protege apenas 125.125.125.125: 402 Endereço IP e porta.
IP/porta=127.127.127.127: 403, CN=*secure.exemplo.com, SAN=*.exemplo.com - Protege apenas 127.127.127.127: 403 Endereço IP e porta.
Tomcat
Quando a solicitação de automação chega, o servidor encontra os blocos <Connector> correspondentes com base nos CNs e/ou SANs usados na solicitação.
O Tomcat compara o SSLHostConfig hostName ao CN e/ou SAN presente na solicitação.
Se um SSLHostConfig Hostname correspondente for encontrado no conjunto de blocos de conectores, todos os blocos correspondentes serão protegidos.
Por exemplo:
http to https Automation
<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000"> <SSLHostConfig hostName="*.abc.example.com"> </SSLHostConfig> </Connector> <Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000"> <SSLHostConfig hostName="*.example.com"> </SSLHostConfig> <SSLHostConfig hostName="*.mail.example.com"> </SSLHostConfig> <SSLHostConfig hostName="abc.example.com"> </SSLHostConfig> <SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig> </Connector> <Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000"> <SSLHostConfig hostName="*.secure.example.com"> </SSLHostConfig> <SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig> <SSLHostConfig hostName="abc.example.com"> </SSLHostConfig> <SSLHostConfig hostName="*.login.example.com"> </SSLHostConfig> </Connector>
No exemplo acima, quando você solicita automação para:
<Connector port="8082" connectionTimeout="20000" protocol="HTTP/1.1" defaultSSLHostConfigName="*.avp.cert-testing.com" SSLEnabled="true"> <SSLHostConfig hostName="*.avp.cert-testing.com"> <Certificate certificateKeyFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\privkey.pem" certificateFile="C:\Certbot\-v1ItahTQMXDj5mWSECcn7o182xIChVEwGzsznbccjk\live\avp.cert-testing.com\cert.pem" type="RSA"/> </SSLHostConfig> </Connector>
In the above examples, when you request automation for:
CN=*.abc.exemplo.com - Protege apenas blocos de conectores de porta 182.
CN=*.exemplo.com - Protege apenas o bloco do conector da porta 183.
CN=*exemplo.com - Protege todos os blocos de conectores.
CN=*.secure.exemplo.com e SAN=*.secure.exemplo.com, *.blog.exemplo.com, abc.exemplo.com, *.login.exemplo.com - Protege apenas o bloco do conector da porta 184.
Aviso
Para uma automação bem-sucedida, todos os blocos SSLHostConfig em um conector devem ter um certificado instalado.
CN=*.exemplo.com e SAN=*.mail.teste.com
<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000"> <SSLHostConfig hostName="*.example.com"> </SSLHostConfig> <SSLHostConfig hostName="*.mail.test.com"> </SSLHostConfig> <SSLHostConfig hostName="abc.example.com"> </SSLHostConfig> <SSLHostConfig hostName="*.blog.example.com"> </SSLHostConfig> </Connector>
IBM
Quando a solicitação de automação chega, o servidor encontra os blocos <VirtualHost> correspondentes com base nos CNs ou SANs usados na solicitação.
O servidor IBM compara o ServerName e ServerAlias aos CNs ou SANs presentes na solicitação.
Se um ServerName ou ServerAlias correspondente for encontrado no conjunto de hosts virtuais, todos os blocos de hosts virtuais correspondentes serão protegidos.
Por exemplo:
Listen 125.125.125.125:551 <VirtualHost 125.125.125.125:551> ServerName 551.abc-example.com ServerAlias *.mail.abc-example.com </VirtualHost> Listen 125.125.125.125:552 <VirtualHost 125.125.125.125:552> ServerName 552.abc-example.com ServerAlias *.abc-example.com </VirtualHost> Listen 125.125.125.125:553 <VirtualHost 125.125.125.125:553> ServerName 553.abc-example.com ServerAlias *.abc-example.com securemail.abc-example.com </VirtualHost>
No exemplo acima, quando você solicita automação para:
CN=*.abc-exemplo.com - Protege os blocos de host virtual da porta 552 e 553.
CN=*.mail.abc-exemplo.com - Protege apenas o bloco de host virtual da porta 551.
CN={551/552/553}.abc-exemplo.com – Protege apenas o respectivo bloco de host virtual.
CN=*.abc-exemplo.com e SAN=*.mail.abc-exemplo.com - Protege todos os blocos de host virtual.
CN=551.abc-exemplo.com e SAN=securemail.abc.com - Protege apenas os blocos de host virtual das portas 551 e 553.