Мне принадлежат example.com, example.net и example.biz.
Я использую Apache для перезаписи example.net и example.biz в example.com.
Исходя из этого переписывания, я понимаю, что мне нужен сертификат только для example.com, а не example.net и example.biz. Пожалуйста, подтвердите.
Для структурирования своего сайта я использую подкаталоги, а не поддомены.
Единственным исключением является поддомен www.
Если мне нужен SSL для example.com и www.example.com, нужны ли мне два сертификата или один wildcard-сертификат?
Вы бы рекомендовали переписать один из этих доменов на другой и использовать только один сертификат? Если да, то какой из них вы бы рекомендовали использовать и почему?
решение1
Если вы хотите, чтобы сертификат обрабатывал example.com и www.example.com, вам НЕ следует использовать сертификат wildcard, поскольку *.example.comон не соответствует example.com. Вместо этого вам нужен сертификат, который имеет, например, example.com в качестве общего имени, а затем добавьте www.example.com к альтернативным именам субъекта.
Также, если вы хотитеhttps://example.netилиhttps://example.bizперенаправить наhttps://example.comвам необходимо добавить оба этих имени хоста (и, возможно, отвечающий www.example.* тоже) также к альтернативным именам субъекта, поскольку перенаправление происходит только после TLS-рукопожатия и проверки сертификата. В противном случае браузер будет жаловаться на недействительные сертификаты, и перенаправление будет эффективным только после того, как пользователь отменит эти предупреждения.
решение2
Когда мне выдали сертификат для домена, мой провайдер любезно добавил www в качестве альтернативного имени субъекта, вот так:
(простите за мою ужасную цензуру) Так что ответ - нетобычно. Большинство поставщиков делают это автоматически. Обратитесь к своему поставщику, если вы не уверены или если в сертификате, который они вам выдают, отсутствует это поле.
Примечание: Этооченьбазовый сертификат (стоимостью 9 долларов, который некоторые провайдеры часто предоставляют бесплатно) и у него есть SAN, так что это дешевая альтернатива.
Есть такжеУККсертификаты, которые дажелучшечем wildcard сертификаты, потому что они могут охватывать более одного доменного имени. Они также используют поле SAN для перечисления доменов, так что это поле не ограничивается только одним доменным именем.