我希望你能帮我解决这个问题。情况如下:
我有一个 ZoneEdit 域名dummysite.org。
该域名具有以下 A 记录:
| 主持人 | IP地址 | 生存时间 |
|---|---|---|
| @.dummysite.org | 193.10.xx.xx | 默认 |
| @.dummysite.org | 52.67.xxx.xxx | 默认 |
| www.dummysite.org | 193.10.xx.xx | 默认 |
| www.dummysite.org | 52.67.xxx.xxx | 默认 |
基本上,dummysite.org只是一个重定向到上面列出的任一 IP 地址的域名。两个 IP 地址都有自己的服务器和 SSL 证书。
现在,有可能dummysite.org拥有自己的 SSL 证书,因为它没有物理主机/服务器。它实际上只是一个重定向到我的其他服务器的域。
我之所以问这个问题,是因为我的网站的一个用户试图通过 HTTPS 访问 dummysite.org(https://dummysite.org) 并遇到了“您的连接不是私密的”错误。
“此服务器无法证明它是 dummysite.org;其安全证书来自 193.10.xx.xx。这可能是由于配置错误或攻击者拦截您的连接造成的。
答案1
TLS 证书位于 Web 服务器(或其他提供网络服务的设备/软件)上。它们不位于 DNS 中的域上。
简而言之,不行。您不能只在您控制的 DNS 区域中托管证书,并让它与您无法控制的 Web 服务器一起工作。
但是,作为 DNS 区域的所有者(或控制者),您可以获取该域的证书并将其发送给 Web 服务器所有者以供使用。由于公共证书验证的工作方式,Web 服务器所有者也可以自己获取证书,因为您已将您的域名指向他们的服务器(有效地委托了对该 DNS 名称的控制)。
PS 当您将 DNS 记录指向 Web 服务器的 IP 地址时,从技术上讲您并没有“重定向”任何内容。Web 客户端直接转到您指向的 IP。术语“重定向”通常意味着特定的 HTTP 协议响应,其中客户端最初访问的 Web 服务器告诉客户端转到其他地方(完全不同的 URL 或 Web 服务器)。