我拥有 example.com、example.net 和 example.biz。
我使用 Apache 将 example.net 和 example.biz 重写为 example.com。
根据此重写,我的理解是,我只需要 example.com 的证书,而不需要 example.net 和 example.biz。请确认。
我使用子目录而不是子域来构建我的网站。
唯一的例外是 www 子域名。
如果我想要为 example.com 和 www.example.com 使用 SSL,我是否需要两个证书或一个通配符证书?
您是否建议将其中一个域重写为另一个域,并且只使用一个证书?如果是,您会建议使用哪一个,为什么?
答案1
如果您想要一个证书来处理 example.com 和 www.example.com,则不应使用通配符证书,因为它与*.example.com
example.com 不匹配。相反,您需要一个以 example.com 为通用名称的证书,然后将 www.example.com 添加到主题备用名称中。
另外,如果你想https://example.net或者https://example.biz重定向至https://example.com您需要将这两个主机名(可能还有响应的 www.example.*)也添加到主题备用名称中,因为重定向仅在 TLS 握手和证书验证之后发生。否则浏览器会抱怨证书无效,并且重定向仅在用户忽略此警告后才会生效。
答案2
当我为域名颁发证书时,我的提供商有帮助地添加了 www 作为主题备用名称,如下所示:
(请原谅我糟糕的审查)所以答案是,不是通常。大多数提供商都会自动执行此操作。如果您不确定或他们颁发给您的证书是否缺少此字段,请咨询您的提供商。
注意:这是非常基本证书(某些提供商通常免费提供的价值 9 美元的证书)并且它具有 SAN,因此它是一种便宜的替代方案。
还有联合化学公司证书甚至更好的通配符证书比通配符证书更安全,因为它们可以覆盖多个域名。它们还使用 SAN 字段来列出域,因此该字段也不仅限于单个域名。