我有一个域名的SSL证书设置,例如www.abc.com,这个域名是面向客户的。
在同一台服务器上(linux),我想设置一个私人的网站pipe理员,admin.abc.com子域。
由于htpasswd不是很安全,我希望能够使用https查看admin.abc.com(除非有替代scheme)。
那么,我是否可以使用现有的SSL证书来查看admin.abc.com,即使这意味着接受来自浏览器的不匹配警告?
如果您能够将多个IP地址添加到虚拟主机,则可以使用两个SSL虚拟主机,每个使用两个SSL证书中的一个。 虚拟主机每个人都需要确定他们应该使用哪个IP地址,例如在Apache Httpd中:
<VirtualHost xyza:443> 这可能比获得通配符证书便宜,但如果您愿意付费,通配证书是最容易设置的。
所有的浏览器都不支持SNI(服务器名称指示),所以虽然这样可以让您只使用一个IP地址提供多个证书,但如果这两个浏览器都需要访问这些证书,则不适用。 如果只有www.domain.com只需要支持旧浏览器,那么你仍然可以这样做,就好像www.domain.com SSL证书是第一个加载的,那么没有SNI浏览器支持的用户仍然可以获得该证书。
Apache Httpd中的SNI只适用于一些更新的版本,例如在CentOS 5中不可用。
UCC证书超出了你的需求,而且通常非常昂贵,所以我不推荐使用通配符证书。
您只需简单地configuration它,就像configuration证书(如果该证书对该主机名有效)一样。
其他选项不需要您处理SSL证书不匹配:
依靠一个不可信的证书, 特别是当stream量正在通过公共互联网时,这是一个可怕的想法。 除非您每次validation证书都可能接受不同的不匹配证书,这可能是中间人攻击,甚至不知道。
一个解决scheme(但不是最便宜:))将购买通配符证书否则,只需创build一个虚拟主机,并使用您已有的证书。 但是您将需要忍受证书警告。
让自己在http://www.startssl.com/的子域名免费证书。 该过程是一个痛苦的屁股,但免费证书是免费的证书。 跳过通配符证书,现在节省一点钱。