我已将SSL分配给我的主域名,我想知道我是否可以将SSL用于我的子域名!我坦率地试了一下,但它显示警告页面说这个页面不安全等等。有没有解决方案,所以我可以在我的子域上使用SSL让客户端在安全连接上发送他们的信息。
错误消息" This webpage is not available"
答案 0 :(得分:36)
X.509证书(通常称为“SSL证书”)通常仅绑定到单个域,通常是“mydomain.com”,“www.mydomain.com”或“secure.mydomain.com”。它们不能用于任何其他域名,即使它是子域名(因此“mydomain.com”的证书不能用于“www.mydomain.com”,反之亦然)。
目前有两种其他类型的证书可用于同时保护多个域名:
一种称为“SAN证书”的相对较新类型的证书 - “主题备用名称”的缩写 - 在Microsoft Exchange Server中需要此证书类型的功能之后,有时也称为“统一通信证书”。这些证书声明了可以用来对其进行的有限主机名列表。
然后是通配符证书。从历史上看,这些都非常昂贵,但最近我们看到价格大幅下跌。使用其中一个证书,您可以保护“anysubdomain.mydomain.com”,包括顶级“mydomain.com”。
如果没有这些SSL证书,您需要为要保护的每个域名获取SSL证书。
请注意,为每个主机名/域名使用不同的证书可能会导致问题,因为TLS系统在发送HTTP Host:标头之前为通道建立安全性 - 这意味着每个安全的网站都需要自己的IP地址或端口号。
...除非您使用SNI(服务器名称标识)证书。好消息是所有现代浏览器和服务器都支持SNI,因此多个安全网站可以使用自己的证书共享IP地址和端口绑定(因此无需单个SAN证书列出其中的所有域)。
坏消息是Windows XP上的Internet Explorer无法连接到SNI网站(但Chrome和Firefox都可以),而在服务器端,您至少需要Windows Server 2012或更高版本。因此,根据IE + XP的流行程度采用SNI。