我有一个 SSL 分配给我的主域,我想知道我是否可以将 SSL 用于我的子域!我坦率地试过了,但它显示警告页面说这个页面不安全等等。有没有解决方案,所以我可以在我的子域上使用 SSL 让客户端通过安全连接发送他们的信息。
错误信息" This webpage is not available"
问问题
32282 次
1 回答
36
X.509 证书(通常称为“SSL 证书”)通常只绑定到单个域,通常是“mydomain.com”、“www.mydomain.com”或“secure.mydomain.com”。它们不能用于任何其他域名,即使它是子域(因此“mydomain.com”的证书不能用于“www.mydomain.com”,反之亦然)。
目前存在 2 种其他类型的证书,可用于同时保护多个域名:
一种相对较新的证书类型,称为“SAN 证书”(“主题备用名称”的缩写),有时也称为“统一通信证书”,这是在 Microsoft Exchange Server 中需要此证书类型的功能之后。这些证书声明了可以使用它们的主机名的有限列表。
然后是通配符证书。从历史上看,这些都是非常昂贵的,但最近我们看到价格大幅下降。使用这些证书之一,您可以保护“anysubdomain.mydomain.com”,包括顶级“mydomain.com”。
如果没有这些 SSL 证书中的任何一个,您将需要为要保护的每个域名获取 SSL 证书。
请注意,为每个主机名/域名设置不同的证书可能会导致问题,因为 TLS 系统会在发送HTTP标头之前Host:为通道建立安全性- 这意味着每个受保护的网站都需要自己的 IP 地址或端口号。
...除非您使用 SNI(服务器名称标识)证书。好消息是所有现代浏览器和服务器都支持 SNI,因此多个安全网站可以使用自己的证书共享 IP 地址和端口绑定(因此不需要列出所有域的单个 SAN 证书)。
坏消息是,Windows XP 上的 Internet Explorer 无法连接到 SNI 网站(但 Chrome 和 Firefox 都可以),而在服务器端,您至少需要 Windows Server 2012 或更高版本。因此,根据 IE+XP 使用的流行程度采用 SNI。
于 2012-09-14T12:03:25.780 回答