SSL сертификаты для субдоменов четвертого уровня

0

5

Суть токова: Есть некоторое количество веб-серверов, имеющих шаблонный URL вида

https:\/\/www\.[0-9]{9}\.example\.com

Это автоматически генерируемые инстансы aws, где имя зависит от определенных параметров.

Для каждого из них нужен честный SSL сертификат.

Пробовали двойной wildcard (*.*.example.com), но не все клиенты работают с такими сертификатами и, как я понимаю, RFC неоднозначен на счет этого. Одинарный wildcard не подходит из-за домена 4го уровня.

Пробовали также выпустить самоподписный CA-сертификат и подписывать им сертификаты серверов без wildcard'ов. Взлетело, но возникают сообщения о невалидности сертификата, что так же очевидно.

Можно ли купить сертификат, которым можно будет подписывать сертификаты серверов. И если да, то какого типа сертификат заказывать у провайдера?

Ну и вообще, может быть есть другие способы это реализовать?

Ссылка

←	Максимально прикинуться шлангом

bind исходящие соединения

→

А зачем тебе обязательно www?

Vovka-Korovka ★★★★★
(16.05.16 15:23:00 MSK)

Ответ на: комментарий от Vovka-Korovka 16.05.16 15:23:00 MSK

Ну таковы требования. Это автоматизация деплоя. Без ssl и www развернутая машина уже не будет идентична продакшну. Не комильфо.

Nicholass ★★★
(16.05.16 15:56:07 MSK) автор топика

Ответ на: комментарий от Nicholass 16.05.16 15:56:07 MSK

Ну требовать можно что угодно. Только у тебя с обязательным www остается один вариант - использовать самоподписанный сертификат и импортировать его на клиенты. Сертификат с правом подписи тебе не продадут.

Vovka-Korovka ★★★★★
(16.05.16 16:14:16 MSK)

Ответ на: комментарий от Vovka-Korovka 16.05.16 16:14:16 MSK

а иные технические пути решить этот вопрос?

Nicholass ★★★
(16.05.16 17:38:44 MSK) автор топика

Ответ на: комментарий от Nicholass 16.05.16 17:38:44 MSK

А какие еще могут быть пути, если ты хочешь, чтобы каждый твой домен использовал сертификат, подписанный публичной CA. Либо отказываться от www, либо использовать самоподписанный. На двух стульях тут не усидеть.

Vovka-Korovka ★★★★★
(16.05.16 20:12:57 MSK)

Ответ на: комментарий от Vovka-Korovka 16.05.16 20:12:57 MSK

А вопрос то хороший - почему нельзя купить вилдкард серт для сабдоменов 4 уровня.

~~xtraeft~~ ★★☆☆
(16.05.16 20:21:35 MSK)

Ответ на: комментарий от xtraeft 16.05.16 20:21:35 MSK

Есть еще SAN, но там какие-то подводные камни со статическими IP, на сколько я знаю

Nicholass ★★★
(17.05.16 01:11:57 MSK) автор топика

Ответ на: комментарий от Nicholass 17.05.16 01:11:57 MSK

Есть еще SAN, но там какие-то подводные камни со статическими IP, на сколько я знаю

Может SNI?

Подводных камней нету, можно навыписывать себе кучу сертификатов на поддомены, но, главное, чтобы private.key на IP был один и тот же. Два домена указывающие на один IP, должны быть подписаны валидно для одного и того же приватного ключа.

BaBL ★★★★★
(18.05.16 20:06:17 MSK)

Как вариант, можно генерировать сертификаты для этих доменов и автоматически подписывать при помощи Let’s Encrypt.

ZhuKoV
(19.05.16 14:46:00 MSK)

Ответ на: комментарий от ZhuKoV 19.05.16 14:46:00 MSK

Как вариант, можно генерировать сертификаты для этих доменов и автоматически подписывать при помощи Let’s Encrypt.

На сколько помню, у Let's Encrypt есть лимиты (то ли по неделям, то ли еще какие-то) и с большим количеством они тебя пошлют скоро в далекое путешествие.

BaBL ★★★★★
(19.05.16 14:48:11 MSK)