我们通过 HTTPS 提供一个应用程序,该应用程序将从我们的外部 DMZ 迁移到https://app.mycorp.com) 到我们的 LAN(内部 DNS 也负责 app.mycorp.com)。现在需要通过 VPN 访问该应用程序。
开发人员希望保留外部视图 DNS A/PTR 记录,以便出现“信息”页面(404 页面),如果人们无意中尝试从书签加载网站(例如在咖啡店),该页面会提醒他们通过 VPN 连接到服务。由于该网站主要使用 HTTPS 封装,因此人们可能会将 HTTPS URL 添加到书签中。
我能想到的唯一让 SSL 同时适用于内部应用程序和外部 404 页面的方法是在两个地方使用相同的 SSL 证书。由于用户连接到两个提供相同证书的不同站点,用户的浏览器会发生冲突吗?我认为 HTTPS 只关心 DNS 从证书中的 CN 返回正确的主机名,对吗?
还有其他方法吗?我认为我们无法(通过 Nginx)将 HTTPS 书签重定向到 HTTP,否则浏览器(可以理解)会遇到问题,所以我认为该解决方案行不通。
答案1
如果您对两个网站都使用 HTTPS(据我所知这是您的计划),那么即使您发送 HSTS 标头,您也无所谓,正如我在开头所写的那样。您使用的是同一个证书和同一个主机名,所以一切顺利。