我的组织有我们的域及其子域的通配符证书。可以说 *.serverfault.com。我们想使用第 3 方虚拟主机作为我们图像内容的 CDN,但我们希望域为 media.serverfault.com。出于安全原因,我们不想在第 3 方安装通配符证书。我们希望我们安装的证书仅对 media.serverfault.com 有效。
这可能吗?如果 *.serverfault.com 和 media.serverfault.com 的证书来自不同的根 CA,浏览器会给我们带来问题吗?或者有没有办法使用 *.serverfault.com 通配符证书为 media.serverfault.com 生成一个?
浏览器不会有此设置的问题。DNS 条目和证书之间没有联系。只要有从证书到根 CA 的信任链,一切都很好。