我想为必须安全(ssl)的网站实现动态子域。
我可以设置对 dns api 的调用来为子域添加 A 名称,但想知道是否有人可以推荐一种添加 ssl 信息的方法(基于通配符 ssl 证书)?
所有子域名都将属于主域名。
例如。
该网络服务器是 apache,为 php 提供服务。
答案1
主要问题是,在发送底层 http 请求之前,浏览器首先必须通过 SSL 障碍。在此阶段,将根据用于加密的证书检查主机名。因此,在告知 Web 服务器所请求站点的名称之前,用户的浏览器已经看到有关证书中主机名不同的投诉。
SSL 的后继者称为 TLS,它确实具有允许您执行的操作的功能:服务器名称指示 (SNI)。
请阅读以下维基百科页面上的有关 TLS 和 SNI 的更多信息:
这是一个非常好的演示网站:
答案2
HTTPS 上每个 IP 不能有多个域名。不会发送“Host”标头,因此服务器不知道它为 HTTPS 内容提供的域名 - 只知道 IP 地址。
编辑:通配符证书将允许提供相同的来自同一 IP 的内容可以分发到多个子域,但是我对您的问题的理解是您希望为不同的子域提供不同的内容。
答案3
您可以为 CN=*.domain.com 颁发通配符证书
答案4
检查证书提供商的主题备用名称支持。
有些提供该服务,有些则不提供(Verisign 提供,但您必须通过他们的 PKI 销售渠道!)。
Digicert 可以:
http://www.digicert.com/subject-alternative-name.htm
干杯