Domain-Name-System

對於託管在反向代理上的多個域的多個子域,我需要哪種 ssl 證書

  • April 18, 2013

我有一個 nginx 反向代理,它有多個域的多個子域。我的伺服器上發生了一些內容操作,因此需要反向代理。它們都託管在具有一個 IP 地址的一台伺服器上。例如。

  • example.com
  • blog.example.com
  • another-example.com
  • shop.another-example.com

這些網站中的每一個都託管在其他地方,並在必要時設置了 ssl。

我想知道的是我可以通過 https 提供所有這些域和子域嗎?我需要什麼樣的 ssl 證書?

據我所知,我可以為每個父域使用萬用字元域證書,或者為每個完全合格的域使用多域證書,但是有更簡單的解決方案嗎?(不會花我一大筆錢的)像:

  • 將驗證我的一個 IP 地址的證書
  • 我可以將瀏覽器憑據傳遞給目標伺服器的一種方式
  • 一種作為單個域“host.nginxproxy.com”進行身份驗證的方法

抱歉,如果我沒有正確解釋自己

每個二級域都需要一個萬用字元證書,如果不需要多個子域,則每個二級域都需要一個標准證書。

您可以混合使用 SAN 證書和萬用字元證書,從而創建一個可用於所有域的證書。但是,IMNSHO,處理此問題的最佳方法實際上是為每個 2dn 級域分配一個 IP,並為子域和不同的主機名使用 SAN 或萬用字元證書。

這樣做的主要原因是,如果您嘗試通過同一個 IP 放置所有證書,當您想要添加或刪除域或主機時會遇到麻煩,因為對已發布列表的任何更改都需要您請求新的證書。這最終可能會非常昂貴,比獲得少量 IP 地址要多得多。此外,公共 CA 通常會限制您可以包含在單個證書中的 SAN 數量。

引用自:https://serverfault.com/questions/500566