假设我有一个为某个超酷网站提供的 SSL 证书,例如https://secure.coolsite.com/(不是我的网站,只是一个例子)。然后假设我有一个客户想在他的服务器上为我的网站添加一个 CNAME,比如https://mycoolsite.his-site.com/他是否需要在他的终端上拥有一个常规的 SSL 证书,我是否需要在我的终端上拥有第二个证书(并且只需将其“安装”在我的网络服务器上),或者我是否需要多域 SSL 证书,或者他只需要在他的证书上将我的网站列为别名?
谢谢!
答案1
为了利用CNAME指向系统主 IP 地址的指向,您需要使用涵盖客户端 DNS 名称的主题备用名称证书。
或者,您可以使用 SNI 并在该 IP 地址上拥有多个证书,但请注意,当今使用的很大一部分客户端浏览器不支持 SNI(特别是 Windows XP 上的 IE,约 40% 的用户) - 这些用户会收到证书错误。
另一种选择是让您的服务器监听多个 IP 地址,并使用不同的证书 - 您的客户端将使用A指向分配给他们的 IP 的记录。
(或者如果您使用CNAMEs 来控制记录的目标A,那么您可以将它们CNAME设置为类似的内容client1.example.com,其中包含分配A给该客户端的 IP 的记录。)
答案2
SSL 证书由包含内容的服务器提供并且绑定到域,因此您需要这些域的证书。