试图了解 SSL 证书的工作原理。以下是否正确:
我在 www.example.com 有一个网站,在 mail.example.com 有一个邮件服务器。该网站是公开的,有很多人访问过。邮件服务器仅适用于我认识的一小部分人。
我想将 SSL 添加到网络和邮件服务器。据我了解,除非我购买通配符证书,否则该证书仅对 www.example.com 或 mail.example.com 有效,对吗?我会从一家可靠的公司那里获得 SSL 证书,我所有访问该网站的人都会很高兴。
为了省钱,我正在考虑为邮件服务器获取免费或自签名证书。据我所知,在第一次访问邮件服务器时,我们的邮件用户会看到未知证书的警告消息。但是当它被邮件用户的电脑接受一次后,这个免费证书和付费证书有什么区别吗?
有点相关的问题。我目前在 apache conf 中将 example.com 设置为 www.example.com 的别名。因此,如果有人访问 example.com(没有“www”),URL 会保留在那里,我的 www.example.com 证书将无效,对吗?所以我必须添加重写规则以将 example.com 更改为 www.example.com,对吗?
首先,您对 SSL证书工作原理的这一部分的理解是正确的(SSL 的内容更多)。如果您为 *.example.com 购买通配符证书,您可以将其用于您的子域。
接下来,如果尝试访问您的客户端不信任 CA(证书颁发机构,签署并验证您的 *.example.com 证书的证书),则免费或自签名证书会发出危险信号。他们每次访问时都会收到提示,除非他们接受 CA 是可信的。大多数客户都有一组他们信任的内置 CA,这就是为什么组织要为其中一个 CA 签名的证书支付大笔费用,这是一种身份验证形式,这是证书的全部内容的一部分。虽然自签名证书当然是可行的,特别是如果您的电子邮件客户群很小并且您可以告诉他们跳过他们设备上的服务器证书验证(如果这是一个交换服务器或者他们将通过主动同步访问电子邮件,这将必须在某些移动设备上完成跳过服务器证书验证),但由于 www 是公开的,我不得不建议将面团分叉以获得真正的证书,特别是如果这是针对任何类型的电子商务,我会个人要小心在带有无效证书的网站上购物。希望这可以帮助。