Estou executando um servidor "myserver.net", que possui os subdomínios "a.myserver.net" e "b.myserver.net".
Ao criar certificados SSL (auto-assinados), tenho que criar um para cada subdomínio, contendo o FQDN, mesmo que esses subdomínios sejam apenas vhosts.
O OpenSSL permite apenas um "nome comum", que é o domínio em questão. Existe alguma possibilidade de criar um certificado que seja válido para todos os subdomínios de um domínio?
Sim, use * .myserver.net como nome comum.
Isso é chamado de certs curinga e há um grande número de códigos-chave encontrados com essa palavra-chave.
Aqui está uma delas: link
Atualização: se você quiser que o certificado também corresponda ao domínio raiz (myserver.net), use a extensão Subject Alternative Name. Ao gerar o certificado usando openssh, digite '* .myserver.net / CN = myserver.net' como Nome Comum.
Compatível é bom o suficiente , a menos que você tenha um navegador antigo.
Assim como um FYI, existe outro tipo de certificado, também chamado Certificado de Comunicações Unificadas. Um curinga só pode ser emitido para *.domain.com , mas um certificado UCC permite listar até 100 FQDNs (nomes de domínio totalmente qualificados) em qualquer domínio. A principal razão para obter um desses é que a Microsoft não está muito interessada nos curingas para coisas como controladores de domínio MS, Exchange, etc.
A Unified Communications Certificate (UCC) is an SSL certificate that secures multiple domain names and multiple host names within a domain name. A UCC lets you secure a primary domain name and up to 99 additional Subject Alternative Names (SANs) in a single certificate. UCCs are ideal for Microsoft® Exchange Server 2007, Exchange Server 2010, and Microsoft Live® Communications Server.
UCCs are compatible with shared hosting. However, the site seal and certificate "Issued To" information will only list the primary domain name. Please note that any secondary hosting accounts will be listed in the certificate as well, so if you do not want sites to appear 'connected' to each other, you should not use this type of certificate.
A principal desvantagem do UCC é que você deve listar todos os seus domínios na frente (curingas não exigem isso). Se a lista mudar, você terá que obter um novo certificado. Aliás, Namecheap (apenas um que eu conheço faz isso) oferece um Extended Validation UCC (você paga por domínio, o que significa que um certificado de domínio 100 é MUITO caro), que é a única maneira de ter um certificado EV para mais de um domínio, já que ninguém oferece EV Wildcards.
É uma pergunta válida. Infelizmente, pelo que entendi, os protocolos nunca pretenderam que o proprietário de um domínio fosse capaz de assinar certificados apenas para subdomínios.
Você é um CA para qualquer coisa ou nada. Não há limitação no escopo uma vez que você é uma autoridade de certificação.
Estúpido, mas é assim. Basta comprar um certificado separado para cada domínio que você possui, isso é certo para cada um, por isso, não se preocupe em tentar proteger os dispositivos incorporados que você vende.