在具有 HTTP、HTTPS、IMAPS、POP3S、SMTPS、SFTP 和 WebDav 服务的 Web 服务器环境中,如果我们从未将 FQDN 主机名用于 HTTPS(例如:),是否有必要为服务器的 FQDN 主机名获取 SSL 证书(例如:something.example.com)https://something.example.com)?
我们不能只为“根”域(如 example.com)安装 SSL 证书并将其用于所有安全服务吗?
答案1
SSL 证书中使用的域名需要与用于访问服务的主机名相匹配。因此,如果您在同一台服务器上运行所有服务,即example.com,您可以为所有服务使用相同的主机名,从而为所有服务使用相同的证书。
缺点是,如果您想在不同的服务器之间拆分服务,这会让您很困难。
答案2
证书中应包含用于访问站点的名称。这意味着,如果您使用主机名访问 IMAP 服务,imap.example.com那么仅有证书是不够的。如果这两个 IP 地址相同,那么您当然可以通过使用而不是example.com来访问 IMAP 服务,从而简化配置。example.comimap.example.com
对于所有协议来说都是如此。
答案3
在这种情况下,获取通配符 SSL 证书 *.example.com 并将其用于您的根 example.com
答案4
如果客户端的配置是“example.com”,并且服务提供的证书具有相同的名称,那么您不会遇到任何问题。