保护多级子域的最简单方法

大型公司(特别是企业)面临的最复杂问题之一是保护复杂的数字基础设施,包括具有多级子域的网站。这种设置比您可能意识到的要多得多。

不幸的是,通配符SSL证书的销售方式导致了一个令人遗憾的误称,即所有这些不同级别的子域都可以使用单个通配符证书进行保护。

事实并非如此。

但是有一个解决方案,您可以在一个证书上完成所有操作。我们马上就会做到这一点,但首先让我们来诊断问题。

子域的问题

子域名在这一点上是互联网的常规部分,但保护它们并不总是听起来那么简单。通配符SSL证书的销售目的是能够保护“无限子域”并且部分正确,但需要注意的是,所有这些子域必须位于URL的同一级别。

一般来说,这不是问题。但是,对于在其Web架构中使用多级子域的公司,它可以。特别是当它对Wildcard证书的功能的误解更加复杂时。

为通配符证书建CSR时,将星号(*)放在要保护的子域级别。但是,另一个级别的任何其他子域都无法使用该证书。而URL在第二个子域级别分支的方式可能会使其变得非常复杂。让我们快速看看URL结构。我们将忽略协议,因为这应该始终是HTTPS继续前进,浏览器计划很快停止在地址栏中显示它。

ThirdLevelSubdomain.SecondLevelSubdomain.FirstLevelSubdomain.Domain.TLD /目录

如果要保护二级子域,则需要在第二级子域扩展的第一级子域之前放置一个通配符,并在该域级别使用星号。

所以它看起来像这样:

* .FirstLevelSubdomain.Domain.TLD /目录

困惑了吗?现在考虑从不同的第一级子域扩展的不同的二级子域,您可以看到这一点如何变得非常复杂。

答案是多域通配符SSL证书

就像行业在解释标准通配符SSL证书的局限性方面做得很差一样,它也有点落在多域通配符SSL证书上。它通常表示为多达250个不同的域及其所有(第一级)子域。它绝对可以做到这一点。但也有其他用例。

引用此证书的另一种合适方式是“多级通配符”。这是因为多域通配符非常适合帮助具有使用多级子域的复杂网站结构的组织。让我们来看看这可能会如何在CSR上发挥作用:

FQDN:domain.com

通配符SAN:*

.domain.com通配符SAN:* .mail.domain.com

通配符SAN:* .members.domain.com

通配符SAN:* .dev.domain.com

通配符SAN:* .domain2。 com

通配符SAN:* .ftp.domain2.com

通配符SAN:* .shop.domain2.com

您有效地完成了这项工作的是两个安全的网站,它们的所有第一级子域和五组二级子域。它只有一个证书。

对于大多数公司而言,使用通配符单独进行此操作会非常昂贵。仅从我们的示例中,您将需要使用七个不同的证书来完成单个多域通配符,或者更准确地说,在这种情况下,多级通配符只能使用一个。

这是所有这些在过去一年半中上市的新型多域通配符产品的另一个理想用例。你可能会看一下它的广告方式并问自己,“谁会用它?”

现在你知道了。

未经允许不得转载(声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:net-net@foxmail.com进行举报,并提供相关证据,工作人员会在10个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。):策信智库资讯网 » 保护多级子域的最简单方法

赞 (0)