我的组织拥有针对我们域名及其子域名的通配符证书。假设为 *.serverfault.com。我们想使用第三方网络主机作为我们图像内容的 CDN,但我们希望那里的域名是 media.serverfault.com。出于安全原因,我们不想在第三方安装通配符证书。我们希望我们在那里安装的证书仅对 media.serverfault.com 有效。
这可能吗?如果 *.serverfault.com 和 media.serverfault.com 的证书来自不同的根 CA,浏览器会给我们带来问题吗?或者有没有办法使用 *.serverfault.com 通配符证书为 media.serverfault.com 生成一个?
答案1
浏览器不会遇到此设置问题。DNS 条目和证书之间没有任何联系。只要从证书到根 CA 有一条信任链,一切就都好。