我需要为我的 Web 应用程序实施 SSL。我以前从未这样做过,所以我想确保我做的是正确的事情。
我的设置:
- Webserver1 用于公共站点
- 用于 Web 应用程序的 Webserver2(虚拟 Ubuntu 服务器)
www.mydomain.com 具有指向 Webserver1 的 DNS A 记录。
我的 Webserver2 没有静态 IP 地址,只有一个 DNS 名称。
www.login.mydomain.com 有一个指向 Webserver2(DNS 名称)的 CNAME 记录。
现在我想使用 SSL 保护 www.login.mydomain.com。
我的问题:
1.) 我可以只为 URL www.login.mydomain.com 购买证书吗?或者我是否需要为 www.mydomain.com 购买通配符证书?
2.) www.login.mydomain.com 指向根文件夹,通过 htaccess 我指向应用程序文件夹 /app。这会是个问题吗?
3.) 我是否应该为我的 Webserver2 获取静态 IP 地址?这样我就可以设置 A 记录而不是 CNAME 记录?
非常感谢您的支持
答案1
静态 IP 地址和名称 DNS 配置实际上不会影响您的证书。对服务器的请求中的任何 FQDN 都应与证书匹配。
如果您的请求是 ,www.login.mydomain.com
那么证书中就应该包含该内容,无论它是 A 记录、CNAME 还是 中的条目etc/hosts
。名称解析在客户端(浏览器)上进行,然后客户端将 FQDN 作为请求的一部分发送到服务器。将检查此 FQDN 以查看证书是否对该域有效。
此外,如果这个开发服务器只是为你准备的,那么就没有必要购买商业证书(尽管现在它们很便宜)。你可以简单地用 OpenSSL 等工具制作自己的证书。
回答您的问题:
您可以购买通配符证书,但费用会更高。单独的证书会便宜得多(或者自己制作)。
证书链构建仅检查 FQDN - 而不是完整 URL。 之后的任何内容
/
都会被忽略。- 这可能对您来说更容易管理,但这不是强制性的。这与证书无关,只是一个简单的名称解析问题。