我有一个web服务,提供简单的网站构造函数与付款页面。
用户可以select购买域名,例如user.com ,select一些模板,并将该域名与CNAME指向我的web服务,例如site.constructor.com 。
而且有很多这样的用户的网站,他们都指向site.constructor.com 。
Web服务站点覆盖了AWS上托pipe的通配符证书* .constructor.com,SSL证书应用于Load Balancer HTTPS处理程序。
现在,当任何人浏览https://user.com时,他从sites.constructor.com获取适当的内容,但在此之前,他收到警告窗口,该user.com不包含正确的证书(因为使用主机证书)。
而现在我需要使https://user.com安全,但不明白如何做到这一点。
我没有任何负载平衡器configuration,或该域的web服务configuration。 唯一的入口是具有用户域名的CNAME和DBlogging。 所以我甚至不能简单地为用户域购买新的证书并应用它。
保护CNAME域的最佳方式是什么?
UPD.1。 用户的域名访问stream程
1. Navigate _https://user.com_ there is only domain control panel with CNAME which points to the _site.constructor.com_ 2. call to the AWS load balancer of _site.constructor.com_ with applied SSL (SSL is NOT for _user.com_) 3. access to the EC2, etc... 应该在哪里应用user.com证书? 在这种情况下user.com可以使用自生成的证书吗?
有一个CNAMElogging,而不是一个直接的地址logging( A / AAAA )不是一个因素。 证书validation基于位置URL中的主机名。
要导航到https://example.com/以运行,您需要一个对example.com有效的证书。 即,有一个example.com作为主题CN (通用名称)或在其SAN (主题备用名称)列表中包含example.com的证书。
除了HåkanLindqvist之外,关于你的更新的一个答案是:
应该在哪里应用user.com证书?
在终止您的HTTPS / TLS的机器上。
在这种情况下,可以使用self.com生成的证书吗?
当然…但是使用这些会给你的访问者提供证书警告(假设CA证书在他们的浏览器中是未知的/可信的)。 如果您想防止这种情况发生,您需要获得由已知和“可信”CA签署的证书。 (如果我们正在谈论许多领域,也许看看Let's Encrypt :“它是免费的,自动的,开放的”)。
除了其他答案之外,请注意,如果您的服务器正在处理许多不同域的SSL / TLS,则需要拥有一个覆盖所有域的证书,或者在服务器上configuration服务器名称指示 (SNI)以启用它为不同的域使用不同的证书。 客户端也需要支持SNI,但是所有的现代networking浏览器都这么做,不过请注意,Windows XP上的大多数浏览器都不支持。 (从理论上讲,还有第三种select,就是让一个多宿主服务器为每个域使用一个不同的IP地址,但我认为这对你来说不太可行。)
您必须将请求直接redirect到您的子域。 这是一个隐藏的redirect,所以这里是没有有效的证书所请求的域名。