具有 ssl 证书 www.mydomain.com 的域的 Cname 或 A 记录答案

【问题标题】：Cname or A record for domains having ssl certifcate www.mydomain.com具有 ssl 证书 www.mydomain.com 的域的 Cname 或 A 记录
【发布时间】：2012-06-22 14:22:28
【问题描述】：

我们有两条 A 记录指向相同的公共 IP 地址：

www.example.com IN A 192.*.*.*
example.com IN A 192.*.*.*

我们有威瑞信颁发给www.example.com的证书。现在，当用户输入https://www.example.com/xyz 时，一切正常。

但是当我们使用https://example.com/xyz时，浏览器会抛出错误：

“本网站的安全证书有问题”

如果他们信任并想要继续，请用户做出决定。

现在最好的做法应该是：

更改证书并获取通配符证书*.example.com
在 DNS 中使用以下设置：
- www.example.com IN A 192.*.*.*
- example.com IN CNAME www.example.com
如果用户键入example.com/xyz 到www.example.com/xyz，则在.Net 管道中编写一个HTTP 模块以重定向用户。我知道不建议这样做。

我们想做类似chase.com 正在做的事情。如果您输入chase.com，它会将您带到https://www.chase.com/。

【问题讨论】：

标签： iis dns ssl-certificate cname a-records

【解决方案1】：

以上都不是。您应该获得涵盖两个域的 SSL 证书：www.mydomain.com 和 mydomain.com。

根据您的建议：

1) 拥有*.mydomain.com 的单个域的通配符证书在打开没有任何前缀的 mydomain.com 时仍然会给您一个错误。您当然可以获得*.mydomain.com 和mydomain.com 的多域证书

2) 为了 SSL，CNAME 或 A 无关紧要 - DNS 用于获取您的网络服务器的地址（A 记录），之后浏览器仍然希望 SSL 证书与您在地址栏中键入的内容完全匹配.

3) 这适用于 http 请求，但是当用户键入 https://mydomain.com 时，浏览器会检查 SSL 证书之前它会处理重定向请求，但仍会显示警告。

附注你有这个问题是因为 CA 行业完全搞砸了。他们的产品页面都看起来像“超级 256 位加密”（证书与加密强度无关）、移动支持（无论是移动还是大型机，证书都是一样的），以及“包含免费站点封条”（网站印章是放置在您网站上的 CA 广告的好名字）。

所有不重要的东西，比如它是 CRL 还是 OCSP，或者它涵盖了哪些域名 - 从未提及。

【讨论】：

是两个单独的证书还是一个证书支持两个域？
一个证书用于多个域名。两个单独的证书仅适用于较新的浏览器，支持服务器名称指示。其余的仅使用一个证书，因此用户将收到第二个名称的警告。
证书通常包含 www.example.com 和 example.com 两个名称，而且 CA 混蛋再次忘记提及它 - 您必须联系支持人员才能知道您实际获得了什么。
@Julian 我没有说需要通配符证书。
你是对的@Sandman4，但你也不需要两个域的证书。您只需要一个常规的 http 重定向。无需购买任何新东西。