curinga ssl para subdomínios

1

Eu gero minhas chaves ssl via openssl uso este comando:

openssl req -passin pass:3a1b -new -key server.key -out server.csr;
cp server.key server.key.org;
openssl rsa -passin pass:3a1b -in server.key.org -out server.key;
openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt;

Também adiciono meu domínio local como Common Name definido como *.localdomain.sweb . mas quando o usuário aceitar a certificação para o domínio www.localdomain.sweb domains another.localdomain.sweb também precisará ser aceito.

Como posso definir todos os subdomínios como certificados válidos quando o usuário aceita o certificado de domínio principal.

    
por sweb 12.08.2013 / 23:12

1 resposta

2

A resposta é simples: NÃO USE CERTIFICADOS AUTO-ASSINADOS .

O navegador dos seus usuários está (corretamente) insistindo que eles aceitam um certificado inválido (auto-assinado / autoridade desconhecida) para cada domínio. Isso ocorre porque o navegador não tem como saber se o certificado que está aceitando para www.localdomain.sweb também é válido para another.localdomain.sweb (porque não há uma autoridade de assinatura válida atestando o certificado).

p>

Se você adquirir um certificado apropriado assinado por uma autoridade de certificação reconhecida (ou alternativamente estabelecer sua própria CA e distribuir sua chave pública para seus clientes como uma autoridade de certificação reconhecida) o navegador irá confiar nele para todos os domínios no caractere curinga, porque está devidamente assinado e, portanto, devidamente autorizado (desde que a CA tenha feito alguma validação antes de emitir o certificado).

    
por 12.05.2014 / 18:52