Ssl 保护具有cname记录的url

我有一个网站，每个用户都有子域和通配符SSL证书

问题是，是否有人可以设置一个cname记录，例如user1.theirsite.com->user1.mysite.com，并让它仍然使用https

如果他们在服务器上安装SSL证书以确保连接安全，这会起作用吗

---

感谢

主机名和证书验证（事实上，检查是否使用了SSL）完全由客户端负责

主机名验证将由客户端根据其URL中请求的主机名（如中所述）完成。主机名DNS解析是基于CNAME条目还是基于其他任何内容都无关紧要

如果用户正在键入

https://user1.theirsite.com/

在他们的浏览器中，目标站点上的证书应该对

user1.theirsite.com

有效

如果他们有自己的

user1.theirsite.com

服务器，不同于

user1.mysite.com

，DNS CNAME条目就没有意义了。假设这两台主机实际上是不同的，它们可以拥有自己的有效证书，用于

user1.theirsite.com

，并重定向到

https://user1.theirsite.com/

。重定向也将在地址栏中可见

---

如果你真的想拥有一个从

user1.theirsite.com

到

user1.mysite.com

的CNAME，他们可能会给你他们的证书和私钥，这样你也可以在你的站点上托管它，使用服务器名称指示（假设相同的端口，当然，因为你使用的是CNAME，所以IP地址也相同）。这将适用于支持SNI的客户。但是，他们向您提供私钥（通常不建议这样做）会有一定的风险。

最好的方法是，如果他们与您安排让您的SSL证书在您的X.509证书中包含他们的“别名”作为

使用者的备用名

扩展名

---

这是一些CDN在为客户端托管

https

站点时使用的方法-他们将托管在一台服务器上的所有已知站点名称放入一个大型SSL证书中，然后客户端使用CNAMEs将其域指向正确的CDN服务器。

以下内容已设置并正在运行：

a.corp.com

->CNAME

b.corp2.com

->a

1.2.3.4

位于

1.2.3.4

的haproxy将为

a.corp.com

提供证书，该站点将从Web服务器后端正常加载

---

因此，在您的服务器上，您将需要

user1.theirsite.com

cert，它将正常工作。

如果他们在服务器上使用CNAME指向您的服务器，他们将永远不会联系到您获取SSL证书。。。正确的？你特别担心什么？用户会发现连接不可信。这令人失望。我想我将不得不远离https，然后根据需要重定向它们。当然，这的确是一个不错的选择。它承担着与获得证书+私钥相同的责任（并且可以使应用程序更加复杂），但是可以在没有SNI的情况下工作。我在godaddy上看到的选项具有多域SSL或无限子域SSL。是否有一个组合一或我会使用两个？一个大的SSL证书不能变得太大吗？如果有1000个客户呢？