我刚刚为我们的域名 tspack.us 获得了 SSL 证书 - 所以我假设该证书仅适用于该域名,对吗?从技术上讲,我不能使用www.tspack.us因为据我了解,它与 tspack.us 不完全匹配。
我已经在 DNS 设置中添加了 CNAMEwww.tspack.us指向 tspack.us
这是设置 SSL 网站的标准程序吗?
另外,我是否仍需要在我的 Web 服务器上进行 2 次绑定?例如:tspack.us:80 和 tspack.us:443
答案1
我刚刚为我们的域名 tspack.us 获取了 SSL 证书 - 所以我假设该证书仅适用于该名称,对吗?
是的,但是要有证书能包含多个域名,有些 CA 实际上会www.免费添加作为第二个名称。打开您的 .crt 文件并检查“Subject Alt Name”扩展名中的内容 - 这是有效名称的列表。
从技术上讲我不能使用www.tspack.us因为据我了解,它与 tspack.us 不完全匹配。
是的,必须完全匹配。如果 CA 没有在证书的 SubjectAltName 中包含子域变体,则您无法使用该证书。
另外,我是否仍需要在我的 Web 服务器上进行 2 次绑定?例如:tspack.us:80 和 tspack.us:443
在 :80 上进行绑定并将其重定向到 :443 上的主网站仍然是一个好主意,尽管现在有些浏览器直接首先转到 :443,但仍有一些浏览器从 :80 开始。
(注意:在 Apache 中,您不需要domain:80,而需要使用*:80和*:443。)
如果您没有绑定,则可能是 Web 服务器仍在监听 :80 上的请求,并提供一些通用的“It Works!”网页。您不希望访问者停留在那里。它至少应该提供重定向,或者根本不应该监听该端口。
(但是,即使在这种情况下,也要保持端口 80 开放——不要让防火墙完全断开连接。这会导致此类访问者的初始延迟很长。连接应该立即被接受或立即被拒绝,但不能被断开。所以这将是更轻松就像通常一样,在 :80 上进行绑定/vhost。)