证书名称必须与用户在浏览器中input的内容相符，而不是“最终的”DNSlogging。 如果用户inputdocs.tenantcompany.com那么您的SSL证书必须覆盖。

如果docs.tenantcompany.com是foo.example.com的CNAME，则证书不需要覆盖foo.example.com ，只需要docs.tenantcompany.com 。

杰森的回答是正确的。 但只是为了澄清一些术语，“DNSredirect”有点用词不当。 DNS有CNAMElogging（别名），这是一个名字指向另一个名字。 但这不是一个redirect。 从名称到IP的翻译都发生在后台，您的浏览器只关心初始名称。

唯一redirect是Web服务器，其中服务器明确告诉您的浏览器去其他地方。 如果您的Web服务器实际上正在redirect到其他名称，您实际上需要两个名称的证书，因为您的浏览器最终将分别连接到它们两个。

我想了解我的租户公司是否具有通配符SSL证书，它是否可以使用此设置，或者必须为docs.tenantcompany.com购买新的SSL证书？

简短回答：否。如果您的租户公司在名称*.tenantcompany.com有一个通配符，那么您的服务器上就可以安装足以通过该名称覆盖访问的通配符。 不pipe你是否想要这样做，都是另一回事。

如果通过docs.tenantcompany.com名称始终进行访问，则名称docs.<tenant>.mycompany.com （例如，直接证书或通配符*.<tenant>.mycompany.com ）中的证书无用。

较长的答案

假设您在合理的浏览器中浏览到https://docs.tenantcompany.com 。 浏览器通过HTTP协议运行TLS。 它特别关心两件事。 那：

• 浏览器和操作系统的DNS子系统返回合适的主机的IP地址，该主机在本地networking或互联网上的其他地方的合适的端口上运行networking服务器。 对于HTTPS（安全）stream量，默认端口为443除非在URL中被覆盖。

• 当浏览器和远程服务器之间发生TLS握手时 ，服务器将显示一个可信证书，允许其在请求的地址（ docs.tenantcompany.com ）上提供TLS服务。

DNS

浏览器将DNS视为黑盒子。 它会调用合适的DNS库来请求从友好的完全限定的域名（FQDN）映射到合适的IP地址（v4或v6）。 它不关心如何得到这个IP地址。 如果在原始logging和A或AAAAlogging之间的DNS中有20个CNAME别名，则DNSparsing器将跟随它们直到获得IP地址。

TLS

当浏览器执行TLS握手时 ，需要validation与之通信的服务器是否有权在请求的FQDN上提供安全的网站服务： docs.tenantcompany.com 。

请记住：浏览器不关心docs.<tenant>.mycompany.com – DNSparsing器已经通过CNAMElogging提取了间接知识。

我们授权服务器为docs.tenantcompany.com上的安全会话授权的方法是通过由在浏览器的根证书存储区中build立了先前信任的授权机构签署的SSL证书。 这并不总是服务器到客户端的最强authenticationforms – 在集中式CA模式下可能会出现很多问题 – 但这是目前我们所掌握的最好的方式。

这里还有两个警告：

密钥分享

许多商业SSL证书供应商将只签署一个签名请求，将通配符证书有效地绑定到单个私钥。 租户公司可能会不自在地分享他们的组织，因为拥有私钥的人显然可能会损害与租户公司的其他安全系统的沟通。

某些供应商将在同一证书下签署多个证书签名请求，这样就可以在多个服务器和系统上安装一个通配符证书，而不必在它们之间共享私钥。

伪装

如果租户公司向您提供其通配符证书的副本（通过共享私钥或签署自己的CSR），则可伪装成<anydomain>.tenantcompany.com ，打破重要的保护措施以确保完整性在tenantcompany.com DNS名称空间中标识的服务器。 从法律/责任的angular度来看，这对您和租户公司来说都是不利的。