域重定向中的 SSL 证书错误

域重定向中的 SSL 证书错误

我管理两个域名,想将其中一个重定向到另一个。我设置了域名转发,从域 S(源)永久重定向到域 T(目标)。域 T 上的服务器将所有 HTTP 重定向到 HTTPS。如果我访问 ,浏览器将被重定向http://<domain-S>

如果我访问https://<domain-S>(注意 S 代表 TLS),我会看到:

Firefox detected a potential security threat and did not continue to <domain-S>.  ...

Firefox does not trust this site because it uses a certificate that is not valid for <domain-S>. The certificate is only valid for the following names: shortener.secureserver.net, www.shortener.secureserver.net

Error code: SSL_ERROR_BAD_CERT_DOMAIN

请注意,的 HTTPS 配置运行良好<domain-T>。我认为问题在于为https://<domain-T>提供的 SSL 证书https://<domain-S>

如何在提供证书之前重定向域名?

答案1

当浏览器访问时,您必须提供有效的证书https://<domain-s>,证书检查是在处理页面内容/重定向/之前执行的,这是设计使然。

如果您无法为域创建一个证书S并为域创建一个证书T,则可以在Subject Alternative Name证书中列出两个域:RFC5280,第 4.2.1.6 节

主题备用名称扩展允许将身份绑定到证书的主题。这些身份可以作为证书主题字段中身份的补充或替代。

答案2

没有任何配置更改可以完成您要执行的操作 - 问题是浏览器知道用户尝试浏览域 s,并且所提供的网站受为域 t 签名的证书保护。从浏览器的角度来看,域 t 正在无效地模仿域 s。改变这种情况的唯一方法是使用对域 s 和域 t 都具有权威性的多域/SAN 证书。或者,如果域 t 是域 s 的子域,则可以使用通配符证书。

简而言之,这是 TLS 的工作 - 通知用户他们到达的服务器实际上位于域 t,而不是用户尝试去的地方。

答案3

这正是您尝试使用 nginx 执行的操作,假设它们位于不同的 IP 上(您未指定):

server {
    listen 80;
    server_name olddomain.com;
    return 301 https://newdomain.com;
}

server {
    listen 443 ssl http2;
    server_name olddomain.com;
    ssl_certificate olddomain.fullchain.pem;
    ssl_certificate_key olddomain.privkey.pem;
    return 301 https://newdomain.com;
}

如果它们位于同一服务器/IP 上,则需要设置并使用 SNI大多数现代浏览器都支持它或使用通用 TLS 证书。

相关内容