证书对 url dev.user.svc.databaker.io 是否有效
Is the certificate valid for the url dev.user.svc.databaker.io
我计划为域 *.svc.databaker.io 创建一个证书和一个 DNS 名称为 dev.user.svc.databaker.io 的 Web 服务。
问题是,证书 *.svc.databaker.io 有效期 dev.user.svc.databaker.io
更新
假设我要按照 https://cert-manager.io/docs/configuration/acme/#dns-zones 上的描述为 DNS 区域创建证书。例如,
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: letsencrypt-staging
spec:
acme:
...
solvers:
- dns01:
cloudflare:
email: user@example.com
apiKeySecretRef:
name: cloudflare-apikey-secret
key: apikey
selector:
dnsZones:
- 'databaker.io'
证书对 user.dev.svc.databaker.io 是否也有效?
没有,通配符只能匹配一个标签,详见RFC 6125,具体为:
2. If the wildcard character is the only character of the left-most
label in the presented identifier, the client SHOULD NOT compare
against anything but the left-most label of the reference
identifier (e.g., *.example.com would match foo.example.com but
not bar.foo.example.com or example.com).
他们关于如何不匹配的示例完全涵盖了您的用例。
带有 CN 或 SAN 的证书 *.svc.databaker.io 将不匹配 dev.user.svc.databaker.io.
我计划为域 *.svc.databaker.io 创建一个证书和一个 DNS 名称为 dev.user.svc.databaker.io 的 Web 服务。
问题是,证书 *.svc.databaker.io 有效期 dev.user.svc.databaker.io
更新
假设我要按照 https://cert-manager.io/docs/configuration/acme/#dns-zones 上的描述为 DNS 区域创建证书。例如,
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: letsencrypt-staging
spec:
acme:
...
solvers:
- dns01:
cloudflare:
email: user@example.com
apiKeySecretRef:
name: cloudflare-apikey-secret
key: apikey
selector:
dnsZones:
- 'databaker.io'
证书对 user.dev.svc.databaker.io 是否也有效?
没有,通配符只能匹配一个标签,详见RFC 6125,具体为:
2. If the wildcard character is the only character of the left-most
label in the presented identifier, the client SHOULD NOT compare
against anything but the left-most label of the reference
identifier (e.g., *.example.com would match foo.example.com but
not bar.foo.example.com or example.com).
他们关于如何不匹配的示例完全涵盖了您的用例。
带有 CN 或 SAN 的证书 *.svc.databaker.io 将不匹配 dev.user.svc.databaker.io.