主页 / server / 问题 / 1015024
Accepted
miguelmorin
Asked: 2020-05-01 09:41:39 +0800 CST

域重定向中的 SSL 证书错误

  • 772

我正在管理两个域名,并希望将一个重定向到另一个。我设置了一个域转发,具有从域 S(源)到域 T(目标)的 301 永久重定向。域 T 上的服务器将所有 HTTP 重定向到 HTTPS。如果我访问,浏览器将被重定向http://<domain-S>

如果我访问https://<domain-S>(注意 TLS 的 S),我会看到:

Firefox detected a potential security threat and did not continue to <domain-S>.  ...

Firefox does not trust this site because it uses a certificate that is not valid for <domain-S>. The certificate is only valid for the following names: shortener.secureserver.net, www.shortener.secureserver.net

Error code: SSL_ERROR_BAD_CERT_DOMAIN

请注意,HTTPS 配置适用于<domain-T>. 我认为问题在于 SSL 证书https://<domain-T>正在为https://<domain-S>.

如何在提供证书之前重定向域?

domain-name-system ssl redirect 301-redirect

3 个回答

  1. Best Answer

    您必须在浏览器访问时提供有效https://<domain-s>的证书,在处理页面内容/重定向/...之前执行证书检查,这是设计使然。

    如果您不能为 domain 创建一个证书S并为 domain 创建另一个证书T,您可以在证书中列出这两个域Subject Alternative NameRFC5280,第 4.2.1.6 节

    主题替代名称扩展允许身份绑定到证书的主题。这些身份可以包括在证书主题字段中的身份之外或代替身份。

    • 5

  2. 没有配置更改可以完成您尝试执行的操作 - 问题是浏览器知道用户尝试浏览到域-s,并且提供的网站受到为域-t 签名的证书的保护. 从浏览器的角度来看,domain-t 无效地模拟了 domain-s。改变这种情况的唯一方法是使用对 domain-s 和 domain-t 都具有权威性的多域/SAN 证书。或者,如果 domain-t 是 domain-s 的子域,您可以使用通配符证书。

    简而言之,这是 TLS 的工作 - 通知用户他们到达的服务器实际上位于 domain-t 而不是用户试图去的地方。

    • 2

  3. 假设它们驻留在不同的 IP 上(您没有指定),这正是您使用 nginx 尝试做的事情:

    server {
    listen 80;
    server_name olddomain.com;
    return 301 https://newdomain.com;
}

server {
    listen 443 ssl http2;
    server_name olddomain.com;
    ssl_certificate olddomain.fullchain.pem;
    ssl_certificate_key olddomain.privkey.pem;
    return 301 https://newdomain.com;
}

    如果它们驻留在同一服务器/IP 上,则您需要设置和使用大多数现代浏览器支持的SNI或使用通用 TLS 证书。

    • 1

相关问题