5 votes

TerryP avatar

Puis-je utiliser un certificat SSL unique (sans carte blanche) sur plusieurs noms d'hôte du même domaine ?

Demandé el 20 de Décembre, 2011
Quand la question a-t-elle été
4959 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Si j'ai test.example.com y prod.example.com (deux noms d'hôtes, mais même nom de domaine) puis-je utiliser le même certificat SSL sur les deux machines ?

Dans le passé, lorsque j'essayais d'utiliser un prod.example.com cert on test.example.com il en résulte des avertissements du navigateur pour incompatibilité d'hôte, ce qui m'a amené à penser que j'avais besoin d'un caractère générique (ou alors de plusieurs certificats distincts). (Mon erreur a peut-être consisté à générer la RSC pour les certificats prod.example.com au lieu de simplement example.com ?)

Mais les sites web des différents vendeurs de SSL mentionnent la nécessité d'un certificat wildcard pour sous-domaines ce qui n'est pas du tout ce que j'utilise.

Leur langue est-elle simplement incorrecte ? (Mon côté cynique se demande si cela n'aide pas les vendeurs à vendre des certificats plus chers...)

Demandé el 20 de Décembre, 2011 par TerryP

Réponses

Trop de publicités?

9voto

MDMarra avatar
MDMarra Points 99815

Vous avez besoin d'un certificat qui prend en charge le champ Subject Alternate Name et vous devez y inclure test.example.com pour que cela fonctionne dans l'exemple que vous avez décrit.

Un certificat pour example.com ne fonctionnera pas comme par magie pour les *.example.com comme vous le décrivez, à moins qu'il ne s'agisse d'un wildcard cert, dont vous dites explicitement que vous ne disposez pas. Le champ SAN listant chaque sous-domaine est ce dont vous avez besoin si vous n'avez pas de wildcard.

Répondu el 20 de Décembre, 2011 par MDMarra (99815 Points )

5voto

Joey deVilla avatar
Joey deVilla Points 4487

Leur langue est-elle simplement incorrecte ?

Non, le vôtre l'est.

Si j'ai test.example.com y prod.example.com (deux noms d'hôte, mais le même nom de domaine)

Il s'agit de no le même nom de domaine. Ils sont tous deux séparer les noms de domaine qui se trouvent être sous-domaines de example.com .

Un nom de domaine est tous qui existe à n'importe quel niveau du DNS, pas seulement ceux que vous obtenez de votre bureau d'enregistrement de domaine.

Un certificat SSL ne peut couvrir que

  1. Un nom de domaine exact
  2. Comme ci-dessus, mais avec des "noms alternatifs du sujet" supplémentaires, ou
  3. chaque sous-domaine, c'est-à-dire un certificat de type "wildcard".

Il n'est donc pas possible d'obtenir un certificat pour example.com et qu'il couvre automatiquement les sous-domaines.

Répondu el 21 de Décembre, 2011 par Joey deVilla (4487 Points )

0voto

jcollum avatar
jcollum Points 10236

Tout d'abord, une précision : il n'y a pas de sous-domaines dans la façon dont vous utilisez le site - seulement des domaines. Ou mieux, vous pouvez dire que tout domaine que vous possédez est un sous-domaine. Le domaine racine est ". Le TLD "com." est un "sous-domaine" de ". "exemple.com." est un sous-domaine de "com."... Un sous-domaine est un domaine défini à l'intérieur d'un autre domaine, mais il s'agit d'un attribut relatif et non absolu.

Les certificats "wild card" sont plus étendus, non pas parce qu'ils sont différents d'un certificat de domaine, mais en raison de leur exposition et de leur risque de compromission. Vous ne payez pas à l'autorité de certification SSL le "prix" du certificat, mais une assurance limitée. Cette assurance ne couvre que si la violation est causée par une mauvaise manipulation de votre certificat et de sa chaîne par l'autorité de certification.

Si vous n'avez que quelques sous-domaines, il est moins coûteux d'acheter un certificat pour plusieurs domaines (certificats qui utilisent le Subject Alternate Name). Si vous avez de nombreux sous-domaines d'un domaine ou si vous prévoyez d'ajouter un nombre inconnu de sous-domaines, il est préférable d'acheter un certificat wildcard. Si vous avez différents domaines (exemple1.com, exemple2.com, exemple1.us), vous pouvez utiliser uniquement des certificats SAN ou acheter un certificat wildcard pour chaque domaine. (Par exemple, vous ne pouvez pas acheter un certificat wildcard pour *.com).

L'utilisation d'un certificat SAN ou d'un certificat wildcard peut diminuer la sécurité de votre configuration, car cela vous obligera à utiliser le même listener et très probablement le même utilisateur (vous pouvez utiliser différents utilisateurs avec quelque chose comme mod_suexec pour apache). Ainsi, si un site est compromis, les autres sites pourraient l'être aussi. Si vous disposez de certificats différents, vous pouvez exécuter ces applications avec des utilisateurs différents et bénéficier d'une meilleure sécurité.

Répondu el 21 de Décembre, 2011 par jcollum (10236 Points )

-2voto

BobT avatar
BobT Points 1

Si votre certificat de prod.example.com n'est pas un certificat wildcard, alors pour l'utiliser sur un serveur ayant le nom de domaine de test.example.com alors qu'est-ce qui empêche d'ajouter une entrée à la liste des %SystemRoot%\System32\drivers\etc\hosts en indiquant l'adresse IP du test.example.com machine un faux nom de domaine de whatever.prod.example.com ?

De cette manière, la validation sur le prod.example.com installé sur le test.example.com devrait fonctionner parce que le hosts prouve que le (faux) prod.example.com le nom d'hôte qu'il recherche.

Ce n'est qu'une idée, car j'ai moi-même utilisé cette technique pour le développement.

Répondu el 15 de Mai, 2021 par BobT (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X