我们正在与客户合作。服务器 (A,example.com) 包含来自我们的 ubuntu apache (B,140.120.98.178) 的内容。服务器 (A) 已在使用 ssl 证书,我们也应该使用它。问题:是否可以将 fe *.crt 和 *key 文件复制到我们的服务器 fe 到 /etc/apache2/ssl/ 并启用它
a2ensite default-ssl
如果是这样,那么“通用名称”(当您使用 openssl 创建证书时可以定义该名称)会发生什么情况,它会不会出错(会有 example.com 我们的 140.120.98.178)?
多谢,
书
答案1
是的,证书的通用名称(example.com)对于服务器 B 来说是错误的,因此当客户端尝试从 B 加载内容时会导致 SSL 错误。您有两个选择:
为 B 获取自己的 SSL 证书,其通用名称与其主机名匹配。然后,客户端可以通过 SSL 从 B 加载内容,且不会出现错误。
通过 A 代理 B 的内容。客户端将向 A 索要内容(通过 SSL),A 将向 B 索要内容(使用或不使用 SSL,但 SSL 更适合确保内容的完整性)并将其提供给客户端。A 被称为 B 的“反向代理”。Apache mod_proxy文档讨论了反向代理。