我们部门的网站在内部和外部都使用www子域。当我加入时,我注意到很多用户尝试不使用www,出现错误,感到困惑或烦恼,直到他们尝试使用www或有人告诉他们使用。因此,我为指向我们 Web 服务器的父域添加了一个内部 DNS 条目(以前不存在),并将我们的 Web 服务器配置为监听两者。
当时我们使用的是自签名证书。最近,我们获得了外部签名的证书,但由于疏忽,只适用于*.parent.domain,而不适用于parent.domain。因此,虽然 上的体验www通常很顺畅,但当毫无戒心的用户尝试 时https://parent.domain,他们会收到错误。就 而言curl:
curl: (51) SSL: no alternative certificate subject name matches target host name 'parent.domain'
我为 HTTP 请求添加了重定向,但浏览器阻止了 HTTPS 的进一步操作,因此客户端永远不会看到重定向,而只会看到一个巨大而可怕的警告。
证书的有效期为三年,我认为不能只为这种极端情况而额外花钱。我可以在服务器端做些什么来缓解这种情况吗?
答案1
根据您的 SSL 提供商,他们通常会为您提供根域名和 www。这仅在您请求 example.com 时才有效,如果他们填写了 www.example.com 的 csr,他们还会获得 www.www.example.com,(测试您的 SSL 是否适用于 www.www.example.com,您就会知道)。
您可以随时重新密钥,如果您在使用新的 csr 时遇到问题,请联系您的 SSL 提供商,看看他们是否会为您发放剩余期限的信用,但是,您将需要在发放信用之前撤销证书,从而导致中断,因此请做好计划。
另外,我的 *.example.com SSL 涵盖 SAN 中的 example.com。
我希望这有帮助。
答案2
重定向将在建立连接后发生 - 因此,如果不修复证书,则无法完成重定向。为什么用户从 HTTPS 开始?他们不能只连接到将发生重定向的非 SSL 父域吗?