SSL：托管证书在哪里？验证何时发生？

Question

我在这里很困惑：

我使用DNSMadeeasy来管理我的DNS。我有两个应用程序。

• 一个是Heroku托管，并在https://example.com上有https - Heroku有很多很棒的教程来设置证书，这不是问题。
• 另一个是wordpress，托管在1and1（虽然这里无关紧要），可以http://subdomain.example.com访问，我们希望它可以在https://subdomain.example.com < / LI>

1and1确实销售SSL证书，但他们的自动设置仅在他们使用DNS服务时才有效，正如他们所说的那样。他们的支持说它应该是DNSMadeEasy，它应该托管我们的SSL证书。我觉得这不是真的，因为对于https://example.com，DNSMadeEasy从未参与过。

问题：

• 何时进行证书查询？ 之前，之后，或并行 DNS解析？
• 谁在托管证书？ DNS提供商？ 服务器（例如可以像根目录下的sitemap.xml一样访问）？ 第三方？
• 为了扩大案例，一般情况下，如果我有一台带有修复IP的个人服务器，我如何通过https与有效证书进行通信？
• 在我的情况下，我怎样才能让它出来让https://subdomain.example.com工作？

Answer 1

你不相信1和1的建议是对的。

回答你的问题：

• 何时进行证书查询？之前，之后或并行 DNS解析？

客户端首先将域名解析为IP地址。因此DNS解析首先发生。

• 谁在托管证书？

服务器（简单来说）托管证书。

当客户想要连接到您的站点（通过HTTPS）时，它将首先在端口443上建立与该IP地址的安全连接（这就是为什么通常（没有SNI）每个IP地址只能有一个SSL证书） 。作为此过程的一部分（称为握手），客户端还可以指定服务器名称（所谓的服务器名称扩展名） - 这是您站点的域名。如果您拥有对多个域有效的SSL证书，这将非常有用。

可在此处找到有关其工作原理的详细/详细说明 http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html

• 如果我的个人服务器有修复IP，我该如何通信 通过https获取有效证书？

您的服务器需要能够在端口443上作出响应并拥有/托管解析为该IP地址的域的SSL证书。

• 就我而言，我怎样才能摆脱它 https://subdomain.example.com工作？

您需要为subdomain.example.com购买证书并将其安装在wordpress服务器上。 通常在像您这样的托管解决方案中，您有两个选择：

1. 通过提供商购买SSL证书（在您的情况下为1和1） - 一个更简单的选项，他们将为您配置一切。

2. 自行购买SSL证书。在这里，您很可能需要登录到1and1 / Wordpress管理界面并生成CSR（本质上是证书请求）。然后使用此CSR购买SSL证书，然后您可以通过相同的管理界面进行安装。 该过程看起来与此类似： http://wpengine.com/support/add-ssl-site/