我管理两个域名,想将其中一个重定向到另一个。我设置了域名转发,从域 S(源)永久重定向到域 T(目标)。域 T 上的服务器将所有 HTTP 重定向到 HTTPS。如果我访问 ,浏览器将被重定向http://<domain-S>
。
如果我访问https://<domain-S>
(注意 S 代表 TLS),我会看到:
Firefox detected a potential security threat and did not continue to <domain-S>. ...
Firefox does not trust this site because it uses a certificate that is not valid for <domain-S>. The certificate is only valid for the following names: shortener.secureserver.net, www.shortener.secureserver.net
Error code: SSL_ERROR_BAD_CERT_DOMAIN
请注意,的 HTTPS 配置运行良好<domain-T>
。我认为问题在于为https://<domain-T>
提供的 SSL 证书https://<domain-S>
。
如何在提供证书之前重定向域名?
答案1
当浏览器访问时,您必须提供有效的证书https://<domain-s>
,证书检查是在处理页面内容/重定向/之前执行的,这是设计使然。
如果您无法为域创建一个证书S
并为域创建一个证书T
,则可以在Subject Alternative Name
证书中列出两个域:RFC5280,第 4.2.1.6 节
主题备用名称扩展允许将身份绑定到证书的主题。这些身份可以作为证书主题字段中身份的补充或替代。
答案2
没有任何配置更改可以完成您要执行的操作 - 问题是浏览器知道用户尝试浏览域 s,并且所提供的网站受为域 t 签名的证书保护。从浏览器的角度来看,域 t 正在无效地模仿域 s。改变这种情况的唯一方法是使用对域 s 和域 t 都具有权威性的多域/SAN 证书。或者,如果域 t 是域 s 的子域,则可以使用通配符证书。
简而言之,这是 TLS 的工作 - 通知用户他们到达的服务器实际上位于域 t,而不是用户尝试去的地方。
答案3
这正是您尝试使用 nginx 执行的操作,假设它们位于不同的 IP 上(您未指定):
server {
listen 80;
server_name olddomain.com;
return 301 https://newdomain.com;
}
server {
listen 443 ssl http2;
server_name olddomain.com;
ssl_certificate olddomain.fullchain.pem;
ssl_certificate_key olddomain.privkey.pem;
return 301 https://newdomain.com;
}
如果它们位于同一服务器/IP 上,则需要设置并使用 SNI大多数现代浏览器都支持它或使用通用 TLS 证书。