Ssl 保护具有cname记录的url
我有一个网站,每个用户都有子域和通配符SSL证书 问题是,是否有人可以设置一个cname记录,例如user1.theirsite.com->user1.mysite.com,并让它仍然使用https 如果他们在服务器上安装SSL证书以确保连接安全,这会起作用吗Ssl 保护具有cname记录的url,ssl,dns,cname,Ssl,Dns,Cname,我有一个网站,每个用户都有子域和通配符SSL证书 问题是,是否有人可以设置一个cname记录,例如user1.theirsite.com->user1.mysite.com,并让它仍然使用https 如果他们在服务器上安装SSL证书以确保连接安全,这会起作用吗 感谢主机名和证书验证(事实上,检查是否使用了SSL)完全由客户端负责 主机名验证将由客户端根据其URL中请求的主机名(如中所述)完成。主机名DNS解析是基于CNAME条目还是基于其他任何内容都无关紧要 如果用户正在键入https://
感谢主机名和证书验证(事实上,检查是否使用了SSL)完全由客户端负责 主机名验证将由客户端根据其URL中请求的主机名(如中所述)完成。主机名DNS解析是基于CNAME条目还是基于其他任何内容都无关紧要 如果用户正在键入
https://user1.theirsite.com/
在他们的浏览器中,目标站点上的证书应该对user1.theirsite.com
有效
如果他们有自己的user1.theirsite.com
服务器,不同于user1.mysite.com
,DNS CNAME条目就没有意义了。假设这两台主机实际上是不同的,它们可以拥有自己的有效证书,用于user1.theirsite.com
,并重定向到https://user1.theirsite.com/
。重定向也将在地址栏中可见
如果你真的想拥有一个从
user1.theirsite.com
到user1.mysite.com
的CNAME,他们可能会给你他们的证书和私钥,这样你也可以在你的站点上托管它,使用服务器名称指示(假设相同的端口,当然,因为你使用的是CNAME,所以IP地址也相同)。这将适用于支持SNI的客户。但是,他们向您提供私钥(通常不建议这样做)会有一定的风险。最好的方法是,如果他们与您安排让您的SSL证书在您的X.509证书中包含他们的“别名”作为使用者的备用名
扩展名
这是一些CDN在为客户端托管
https
站点时使用的方法-他们将托管在一台服务器上的所有已知站点名称放入一个大型SSL证书中,然后客户端使用CNAMEs将其域指向正确的CDN服务器。以下内容已设置并正在运行:
a.corp.com
->CNAMEb.corp2.com
->a1.2.3.4
位于1.2.3.4
的haproxy将为a.corp.com
提供证书,该站点将从Web服务器后端正常加载
因此,在您的服务器上,您将需要
user1.theirsite.com
cert,它将正常工作。如果他们在服务器上使用CNAME指向您的服务器,他们将永远不会联系到您获取SSL证书。。。正确的?你特别担心什么?用户会发现连接不可信。这令人失望。我想我将不得不远离https,然后根据需要重定向它们。当然,这的确是一个不错的选择。它承担着与获得证书+私钥相同的责任(并且可以使应用程序更加复杂),但是可以在没有SNI的情况下工作。我在godaddy上看到的选项具有多域SSL或无限子域SSL。是否有一个组合一或我会使用两个?一个大的SSL证书不能变得太大吗?如果有1000个客户呢?