基本、通配符还是多域 SSL 证书?

基本、通配符还是多域 SSL 证书?

我需要保护域名example.com和子域名dash.example.com等的安全sql.example.com......

我没有设置服务器,所以我真的不知道 DNS 条目。您可能注意到我对此真的很陌生。我注意到 example.com 和子域 dash.example.com、sql... 没有相同的 IP 地址,也没有相同的网络主机。那么它们真的是子域吗?

我是否仍可以为 www.example.com 购买证书并使用 Apache 虚拟主机的 ServerAlias 来保护子域名?或者我应该为 *.example.com 购买通配符证书并以某种方式将 example.com 添加到虚拟主机?

这可能有点令人困惑,因为我真的不知道我在说什么,所以请理解!

答案1

证书可以按照您需要的任意组合进行映射。

我注意到 example.com 和子域 dash.example.com、sql... 没有相同的 IP 地址,也没有相同的网络主机。

根据此描述,您将至少需要两个证书,一个用于 ,example.com另一个用于 的通配符*.example.com。根据您的具体情况(特别是所有这些是否都在同一台服务器上运行),购买单个主机名可能更便宜。许多供应商根据安装的服务器数量来授权您的 SSL 证书。

我是否仍可以为 www.example.com 购买证书并使用 Apache 虚拟主机的 ServerAlias 来保护子域名?或者我应该为 *.example.com 购买通配符证书并以某种方式将 example.com 添加到虚拟主机?

理想情况下,您不想更改任何现有的虚拟主机指令,而是为它们添加重复项,并映射到正确的 HTTPS 端口(443)。

例如:

<VirtualHost ipaddress:80>
    ServerName example.com
    .... <your existing definition> 
</VirtualHost>

您将其复制到如下所示的新块。

<VirtualHost ipaddress:443>
    ServerName example.com
    ....
    SSLProxyEngine on
    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/server.crt
    SSLCertificateKeyFile /etc/ssl/private/server.key
</VirtualHost>

答案2

  1. 是的,它们确实是子域名 - 子域名不一定位于同一个 IP 上。

  2. 您将需要两个证书:一个用于example.com,另一个用于*.example.com,并且请注意 * 不包含点 - 因此,购买*.example.com不会对您有帮助,因此请使用 SSLsubdomain.subdomain.example.com

一些提供商使用SubjectAltName - 那么您可以使用一个证书example.com*.example.com

相关内容