Temos um caso de uso em que gostaríamos de fornecer um certificado SSL para:
auth.SOME_ID.example.com
No entanto, haverá vários valores de SOME_ID. Um certificado curinga SSL para auth.*.example.com é permitido ou o curinga tem que ser o subdomínio de nível mais alto?
auth.*.example.com não é um nome válido no DNS. Um rótulo de caractere curinga deve ser o rótulo mais à esquerda e não pode haver mais de um.
Se as várias CAs e navegadores importam que é um nome DNS inválido é outra questão (o campo DN em um certificado X.509 deve ser um caminho de catálogo X.500, portanto, Nomes DNS lá estão encolhidos para os lados para começar), e eu acho que já foi respondido adequadamente.
Você não pode fazer isso. De um ponto de vista prático, você só pode ter um caractere curinga em um nome DNS de certificado e ele deve estar na posição mais à esquerda.
Algumas opções:
auth um nome reservado em seu ambiente e, em vez disso, projete seu sistema para usar SOME_ID.auth.example.com ( *.auth.example.com é um certificado curinga válido). auth-SOME_ID.example.com . Em seguida, um simples certificado curinga *.example.com cobrirá você. auth.SOME_ID.example.com específicos de que você precisa. Existem outros também. Por exemplo, você pode se tornar sua própria Autoridade de Certificação ... embora isso seja quase certamente mais problemático do que vale a pena se você quiser que esses certs sejam publicamente confiáveis. O ponto principal é que você precisa olhar para outra maneira de conseguir isso. Vai levar algum pensamento, mas não é impossível.