Nei*_*eil 1 iis dns cname ssl-certificate a-records
我们有两条A记录指向相同的公共 IP 地址:
www.example.com IN A 192.*.*.*example.com IN A 192.*.*.*我们有 Verisign 颁发的证书www.example.com。现在,当用户输入 时https://www.example.com/xyz,一切都按预期正常工作。
但是当我们使用 时https://example.com/xyz,浏览器会抛出错误:
“该网站的安全证书有问题”
并要求用户做出是否信任并想要继续的决定。
现在这里的最佳实践应该是什么:
*.example.com在 DNS 中使用以下设置:
www.example.com IN A 192.*.*.*example.com IN CNAME www.example.com在 .Net 管道中编写一个 HTTP 模块,以便在用户键入 .Net 时重定向example.com/xyz用户www.example.com/xyz。我知道不建议这样做。
我们想做一些像chase.com正在做的事情。如果您输入,chase.com它会将您带到https://www.chase.com/.
以上都不是。您应该获得涵盖两个域的 SSL 证书:www.mydomain.com和mydomain.com。
根据您的建议:
1) 拥有单个域的通配符证书*.mydomain.com在打开没有任何前缀的 mydomain.com 时仍然会出现错误。您当然可以获得多域*.mydomain.com证书mydomain.com
2) 对于 SSL 而言,用于获取网络服务器地址(A 记录)的 CNAME 或 A - DNS 并不重要,之后浏览器仍然期望 SSL 证书与您在地址栏中键入的内容完全匹配。
3)这适用于http请求,但是当用户输入https://mydomain.com时,浏览器在处理重定向请求之前会检查SSL证书,并且仍然会显示警告。
PS 你遇到这个问题是因为 CA 行业完全搞砸了。他们的产品页面看起来都是“超级256位加密”(证书与加密强度无关),移动支持(无论是移动还是大型机,证书都是一样的),以及“包含免费站点密封”(站点印章是放置在您站点上的 CA 广告的一个好名字)。
所有不重要的事情,例如它的 CRL 或 OCSP,或者它根本涵盖哪些域名 - 从未提及。