尝试了解 SSL 证书的工作原理。以下说法正确吗:
我有一个网站 www.example.com 和一个邮件服务器 mail.example.com。该网站是公开的,有很多人访问。邮件服务器只供一小部分人使用,这些人都是我认识的。
我想为网站和邮件服务器添加 SSL。据我所知,除非我购买通配符证书,否则该证书仅对 www.example.com 或 mail.example.com 有效,对吗?我会从一家可靠的公司获得付费 SSL 证书,这样我网站的所有访问者都会感到满意。
为了省钱,我考虑为邮件服务器获取免费或自签名证书。据我所知,首次访问邮件服务器时,我们的邮件用户会看到未知证书的警告消息。但是,在邮件用户的计算机接受一次之后,这个免费证书和付费证书之间有什么区别吗?
有点相关的问题。我目前在 apache conf 中将 example.com 设置为 www.example.com 的别名。因此,如果有人访问 example.com(不带“www”),URL 会保留在那里,并且我的 www.example.com 证书将无效,对吗?所以我必须添加重写规则才能将 example.com 更改为 www.example.com,对吗?
答案1
首先,您对 SSL 这一部分的理解证书工作正常(SSL 还有很多内容)。如果您为 *.example.com 购买了通配符证书,则可以将其用于您的子域名。
接下来,如果尝试访问您的客户端不信任 CA(证书颁发机构,即签署和验证您的 *.example.com 证书的证书),则免费或自签名证书会发出警告。除非他们接受 CA 为受信任的,否则每次访问时他们都会收到提示。大多数客户端都有一组他们信任的内置 CA,这就是为什么组织会花大价钱购买由其中一个 CA 签名的证书,这是一种身份验证,也是证书的一部分。虽然自签名证书当然是可行的,特别是如果您的电子邮件客户端群很小,您可以告诉他们跳过其设备上的服务器证书验证(如果这是 Exchange 服务器或他们将通过主动同步访问电子邮件,则必须在某些移动设备上跳过服务器证书验证),但由于 www 是公开的,我不得不建议花钱购买真正的证书,特别是如果这是用于任何类型的电子商务,我个人会对在证书无效的网站上购物持谨慎态度。希望这能有所帮助。