我有一个nginx反向代理,有多个多域的子域。 有一些内容操作发生在我的服务器上,因此需要反向代理。 他们全部托pipe在一台服务器上,只有一个IP地址。 例如。
这些网站中的每一个都在其他地方托pipe,并在必要时设置SSL。
我想知道的是我可以通过https提供所有这些域和子域,我需要什么样的SSL证书?
据我所知,我可以为每个父域使用通配域证书,或为每个完全限定域使用多域证书,但有没有更简单的解决scheme? (一个不会花费我的财富)如:
如果我没有正确解释我自己的道歉
如果不需要多个子域,则需要每个二级域的通配符证书,或每个二级域的标准证书。
您可以混合使用SAN证书和通配符证书,从而创build一个可用于所有域的单一证书。 但是,IMNSHO,处理这种情况的最好方法是为每个2dn级别的域分配一个IP,并为子域和不同主机名使用SAN或通配证书。
这样做的主要原因是,如果您尝试将所有证书通过相同的IP,那么当您要添加或删除域或主机时会遇到麻烦,因为对已发布列表的任何更改都需要您申请新的证书。 这最终可能会相当昂贵,比获得IP地址还要多一点。 另外,公共CA通常会限制您可以包含在一个简单证书中的SAN数量。