回答:
* .example.netのワイルドカードSSL証明書はsub.example.netと一致しますが、sub.sub.example.netとは一致しません。
RFC 2818から:
マッチングは、RFC2459で指定されているマッチングルールを使用して実行され ます。特定のタイプの複数のIDが証明書に存在する場合(たとえば、複数のdNSName名、セットのいずれかでの一致は受け入れ可能と見なされます。)名前には
*、単一のドメインと一致すると見なされるワイルドカード文字が含まれる場合があります。コンポーネントまたはコンポーネントフラグメントに名前を付けます。たとえば、*.a.com一致しますfoo.a.comが一致しませんbar.foo.a.com。f*.com一致しますfoo.comが、一致しませんbar.com。
*.*.example.com第1レベルと第2レベルのサブドメインを保護する必要がありますか?
* .domain.comサイトを含み、sub1.sub2.domain.comまたは* .domain2.comのような別のドメインでも機能するワイルドカード証明書が必要な場合は、サブジェクトと呼ばれるものを含む単一のワイルドカード証明書で解決できます他の各サブサブドメインの代替名(SAN)拡張。SAN証明書は、複数の特定のホスト名だけでなく、ワイルドカードエントリに対しても作成できます。
たとえば、*。domain.com、sub1.sub2.domain.com、*。domain2.comの共通名は* .domain.comとなり、次に* .domain2.comと* .sub2.domain.com。証明書の請求方法(または請求されない方法)は認証局によって異なる場合がありますが、このサービスを利用できる場所がいくつかあります。また、SANはWebブラウザーの分野でかなり普及しています。この使用法の最も良い実例は、GoogleのSSL証明書です。googleを開いてSSL証明書を表示すると、*。google.com、*。youtube.com、*。gmail.com、およびサブジェクトの別名としてリストされている場所で機能することがわかります。
*.DOMAIN.COM、これらのサブサブドメインとサブサブサブドメインをカバーするための*.*.DOMAIN.COM(そしておそらく*.*.*.DOMAIN.COM)SANを持つ証明書を取得することは可能でしょうか?