这是我第一次在这里问一些事情。
无论如何,我有这个问题,并已经戳了几个星期了。 我们使用一个网站,是Drupal和Wordpress的网站托pipe和pipe理公司。 我们有这个网站的两个自定义域,一个是基本域example.com和www.example.com的一个子域。 他们告诉我们添加一个CNAME,将其从默认域= live-example.magazine.ioredirect到内部DNS服务器的www.example.com。 我们这样做,它正在工作良好的连接是伟大的,每个人都可以访问。 这是问题出现的地方,我的老板在这些域名上打开了HTTPS实时环境,现在我们遇到了证书问题。 来自我们networking之外的客户可以访问网站,并在网站上显示正确的证书。 每当有人从我们的networking内部尝试去www.example.com它给了我们一个SSL_ERROR_BAD_CERT_DOMAIN错误,我们必须确认一个例外,让人们进入。
我比较了这两个证书,应该显示出来并被我们networking外的人看到的正确证书是一个云证书。 内部显示的证书是带有* .magazine.io通配符掩码的DigiCert SHA2安全服务器CA证书
我明白,它试图寻找云证书,但* .magazine.io是以某种方式阻止它到达它。 我的老板更新了www.example.com网站的证书。
我谈到支持这个,他们一直在说Digicert证书卡在我们的networking上,这是有道理的,因为它只是在我们有问题的内部,但我已经看了我们的DNS服务器的authentication数据存储和Digicert证书确实显示出来,但我删除了它们,并刷新了DNS,但似乎没有工作。
所以我的问题是你们认为这是卡在我的networking上的东西,如果是这样,它会卡在哪里(到目前为止还没有find运气),或者你认为可能是坏的证书附加到默认域他们给了我们,并告诉我们为它添加一个cnamelogging。 另外,当我打开一个网页浏览器,并inputURL https://live-example.magazine.io它不会给我一个安全错误,锁变成绿色,但这是因为通配符证书的名称*杂志.io,所以它显示了很好,但是当我把www.example.com它不给我正确的更新证书。
无论如何,如果你之前有这个问题,或者如果你有什么可能是任何input的想法真的会被赞赏我这种卡在这个问题在这里。
谢谢,
无论您在DNS中使用CNAME还是Atypeslogging都无关紧要。 有没有邪恶的DNS绑架任何证书,因为他们工作在不同的协议。
问题是与Web服务器有关。 在普通的HTTP连接中,浏览器从Host:头的地址栏发送主机名,Web服务器根据这些信息select正确的虚拟主机configuration。
在发送此信息之前build立TLS连接,导致Web服务器使用它在您的configuration中find的第一个证书,在这种情况下是通配符证书。 然后,收到标题后,它仍然可以为您提供正确的网站。
以前解决这个问题的唯一方法是每个证书都有不同的IP地址。 直到服务器名称指示SNI ,这是TLS的扩展,允许客户端将请求的主机名包含在SSL握手的第一条消息中。
自2007年10月以来,SNI自OpenSSL 0.9.8f以来一直在那里。多年来,它一直受到所有主stream浏览器的支持。 您可以在Apache上轻松configuration它,它自0.5.23以来一直由Nginx支持,并在IIS 8.0中引入。