萬用字元憑證的一般名稱 (CN)

想要保護相同網域名稱內的多個子網域的安全時,將萬用字元 SSL 憑證視為選項。這些憑證使用網域名稱欄位中的萬用字元 (*),保護連接到相同的基礎網域的多個子網域 (主機) 的安全。

萬用字元憑證的一般名稱一定以星號和點號 (*.) 作為開頭。

*.(domainname).com

例如,發行到 *.domain.com 的標準萬用字元憑證將保護 www.domain.com、mail.domain.com、 info.domain.com 等的安全,但不會保護 mail.test.com 的安全。

主體別名 (SAN) 必須是萬用字元網域 (例如 *.yourdomain.com),或以您已列出的萬用字元網域為基礎。例如,如果您的其中一個萬用字元網域為 *.example.com,您則可以使用 www.example.com 或 www.app.example.com,但不可以使用 mail.secure.com。保護兩個網域安全的 Secure Site Pro SSL 憑證的例外情況。

安裝在基於 CN 的網頁伺服器上的憑證

根據預設值,要求的憑證預定為安裝在所有相符的網域中。但對於每個 DigiCert 支援的網頁伺服器而言,有一些規則規定憑證只能安裝在合格的網域上.

Nginx

當自動化要求到達時,伺服器會尋找基於要求中使用的 CN 或 SAN 的符合伺服器區塊。

Nginx 比較 server_name 與要求中的 CN 或 SAN。

如果在伺服器區塊集中找到符合的 server_name,則會保護符合的所有伺服器區塊的安全。

例如:

generic 
server {
        server_name 8010.abc-example.com *.abc-example.com;
        listen 123.123.123.123:8010 ;
}

server {
        server_name   8020.abc-example.com *.mail.abc-example.com ;
       listen 123.123.123.123:8020 ;
}
server {
        server_name   8030.abc-example.com *.abc-example.com ;
       listen 123.123.123.123:8030 ;
}

在上述範例中,當您要求自動化:

  1. CN=*.abc-example.com – 保護連接埠 8010 和 8030 伺服器區塊的安全。
  2. CN=*.mail.abc-example.com – 僅保護連接埠 8020 伺服器區塊的安全。
  3. CN={8010/8020/8030}.abc-example.com – 僅保護各伺服器區塊的安全。
  4. CN=*.abc-example.com 和 SAN=*.mail.abc-example.com – 保護所有伺服器區塊的安全。

Apache

當自動化要求到達時,伺服器會尋找基於要求中使用的 CN 或 SAN 的符合 <VirtualHost> 區塊。

Apachex 比較 ServerNameServerAlias 與要求中的 CN 或 SAN。

如果在伺服器區塊集中找到符合的 ServerNameServerAlias,則會保護符合的所有虛擬主機區塊的安全。

例如:

generic 
Listen 551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com  securemail.abc-example.com
</VirtualHost>

在上述範例中,當您要求自動化:

  1. CN=*.abc-example.com – 保護連接埠 552 和 553 虛擬主機區塊的安全。
  2. CN=*.mail.abc-example.com – 僅保護連接埠 551 虛擬主機區塊的安全。
  3. CN={551/552/553}.abc-example.com – 僅保護各虛擬主機區塊的安全。
  4. CN=*.abc-example.com 和 SAN=*.mail.abc-example.com – 保護所有虛擬主機區塊的安全。

IIS

IIS 伺服器不會尋找在自動化要求中使用的符合 CN 或 SAN。憑證將僅安裝在要求的 IP 位址和連接埠上。

例如:

generic 
IP/Port: 123.123.123.123: 401
Common name: *.example.com

IP/Port: 125.125.125.125: 402
Common name: *.abc.example.com
SANs: *.mail.example.com

IP/Port: 127.127.127.127: 403
Common name: *secure.example.com
SANs: *.example.com

在上述範例中,當您要求自動化:

  1. IP/連接埠=123.123.123.123: 401,CN=*.example.com – 僅保護 123.123.123.123 的安全:401 IP 位址和連接埠。
  2. IP/連接埠=125.125.125.125: 402,CN=*.example.com,SAN=*.mail.example.com – 僅保護 125.125.125.125 的安全:402 IP 位址和連接埠。
  3. IP/連接埠=127.127.127.127: 403,CN=*secure.example.com,SAN=*.example.com – 僅保護 127.127.127.127 的安全403 IP 位址和連接埠。

Tomcat

當自動化要求到達時,伺服器會尋找基於要求中使用的 CN 和/或 SAN 的符合<連接器> 區塊。

Tomcat 比較 SSLHostConfig hostName 與要求中的 CN 和/或 SAN。

如果在伺服器區塊集中找到符合的 SSLHostConfig Hostname,則會保護符合的所有區塊的安全。

例如:

generic 
<Connector port="182" SSLEnabled="false" defaultSSLHostConfigName="*.abc.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.abc.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="183" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

<Connector port="184" SSLEnabled="false" defaultSSLHostConfigName="*.secure.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.secure.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.login.example.com">  </SSLHostConfig>
    </Connector>

在上述範例中,當您要求自動化:

  1. CN=*.abc.example.com – 僅保護連接埠 182 連接器區塊的安全。
  2. CN=*.example.com – 僅保護連接埠 183 連接器區塊的安全。
  3. CN=*example.com – 保護所有連接器區塊的安全。
  4. Cn=*.secure.example.com 和 SAN=*.secure.example.com、*.blog.example.com、abc.example.com、*.login.example.com – 僅保護連接埠 184 連接器區塊的安全。

若要成功自動化,連接器中的所有 SSLHostConfig 區塊都必須安裝憑證。

例如,若要成功自動化和安裝憑證到所有 SSLHostConfig 區塊中,您必須用以下做出自動化要求:

CN=*.example.com 和 SAN=*.mail.test.com

generic 
<Connector port="123" SSLEnabled="false" defaultSSLHostConfigName="*.example.com" connectionTimeout="20000">
    <SSLHostConfig hostName="*.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.mail.test.com">  </SSLHostConfig>
    <SSLHostConfig hostName="abc.example.com">  </SSLHostConfig>
    <SSLHostConfig hostName="*.blog.example.com">  </SSLHostConfig>
    </Connector>

IBM

當自動化要求到達時,伺服器會尋找基於要求中使用的 CN 或 SAN 的符合 <VirtualHost> 區塊。

IBM 伺服器比較 ServerNameServerAlias 與要求中的 CN 或 SAN。

如果在伺服器區塊集中找到符合的 ServerNameServerAlias,則會保護符合的所有虛擬主機區塊的安全。

例如:

generic 
Listen 125.125.125.125:551
<VirtualHost 125.125.125.125:551>
ServerName 551.abc-example.com
ServerAlias *.mail.abc-example.com
</VirtualHost>

Listen 125.125.125.125:552
<VirtualHost 125.125.125.125:552>
ServerName 552.abc-example.com 
ServerAlias *.abc-example.com 
</VirtualHost>

Listen 125.125.125.125:553
<VirtualHost 125.125.125.125:553>
ServerName 553.abc-example.com
ServerAlias *.abc-example.com securemail.abc-example.com
</VirtualHost>

在上述範例中,當您要求自動化:

  1. CN=*.abc-example.com – 保護 連接埠 552 和 553 虛擬 主機 區塊的安全。
  2. CN=*.mail.abc-example.com – 僅保護連接埠 551 虛擬主機區塊的安全。
  3. CN={551/552/553}.abc-example.com – 僅保護各虛擬主機區塊的安全。
  4. CN=*.abc-example.com 和 SAN=*.mail.abc-example.com – 保護所有虛擬主機區塊的安全。
  5. CN=551.abc-example.com 和 SAN=securemail.abc.com – 僅保護連接埠 551 和 553 虛擬主機區塊的安全。

關於

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.