我擁有 example.com、example.net 和 example.biz。
我使用 Apache 將 example.net 和 example.biz 重寫為 example.com。
基於此重寫,我的理解是我只需要 example.com 的證書,而不需要 example.net 和 example.biz 的證書。請確認。
我使用子目錄而不是子網域來建立我的網站。
唯一的例外是 www 子網域。
如果我希望 example.com 和 www.example.com 都使用 SSL,我是否需要兩個憑證或一個通配符憑證?
您是否建議將這些網域之一重寫為另一個網域,並且僅使用單一憑證?如果是這樣,您建議使用哪一種,為什麼?
答案1
如果您希望證書能夠處理 example.com 和 www.example.com,則不應使用通配符證書,因為*.example.com與 example.com 不符。相反,您需要一個以 example.com 作為通用名稱的證書,然後將 www.example.com 新增至主題備用名稱。
另外,如果你想要https://example.net或者https://example.biz重定向到https://example.com您還需要將這兩個主機名稱(也可能是回應的 www.example.*)新增至主題備用名稱中,因為重定向僅在 TLS 握手和憑證驗證之後發生。否則,瀏覽器將抱怨憑證無效,並且只有在使用者忽略此警告後,重定向才會生效。
答案2
當我為某個網域頒發憑證時,我的提供者會幫忙新增 www 作為主題備用名稱,如下所示:
(請原諒我可怕的審查)所以答案是,不是通常。大多數提供者會自動執行此操作。如果您不確定或他們為您頒發的證書是否缺少此字段,請詢問您的提供者。
注意:這是非常基本證書(某些提供者通常免費提供的 9 美元證書)並且具有 SAN,因此它是一種廉價的替代方案。
還有UCC偶數證書更好的比通配符證書更好,因為它們可以覆蓋多個網域。他們還使用 SAN 欄位來列出網域,因此該欄位也不僅限於單一網域。