全球主机交流论坛

标题: 诡异的SSL证书 [打印本页]

作者: yang 时间: 2010-4-17 07:50
标题: 诡异的SSL证书
一不小心在StartSSL申请到了两个SSL证书
证书1
domain.com
www.domain.com

证书2
domain.com
sub.domain.com

nginx
domain.com和www.domain.com同一目录同一配置，sub.domain.com另外一个目录另外一个配置。
www.domain.com和sub.domain.com证书同文件夹不同文件名。

诡异的问题是，打开 sub.domain.com查看到sub.domain.com的证书，打开domain.com还是sub.domain.com的证书，打开www.domain.com也还是sub.domain.com。

作者: dunhill 时间: 2010-4-17 07:57
目前不同的ssl证书只能绑在不同的IP上。

作者: cnx 时间: 2010-4-17 08:01
标题: 回复 2# 的帖子
对头，同一个IP只能使用一个证书。
是以IP为准，而不是域名。

作者: yang 时间: 2010-4-17 08:05

原帖由 dunhill 于 2010-4-17 07:57 发表
目前不同的ssl证书只能绑在不同的IP上。

一个SSL证书一个IP这个有听说，如果是这样的话只能换个IP了。
还有个疑问，我从未进行过IP绑定这个行为，那个SSL证书是怎么“绑定”上该IP的，能否解答下？

作者: 咯拉无米 时间: 2010-4-17 08:11
starssl颁发错误我也遇见过
客服很友好的解决了
如果确定是证书问题可以联系他们
初步怀疑是你的key复制时重复，联系客服吧

作者: wzwen 时间: 2010-4-17 08:17
标题: 回复 5# 的帖子

作者: licess 时间: 2010-4-17 08:58
StartSSL的客服服务很好，很周到

作者: dunhill 时间: 2010-4-17 20:42

原帖由 yang 于 2010-4-17 08:05 发表

一个SSL证书一个IP这个有听说，如果是这样的话只能换个IP了。
还有个疑问，我从未进行过IP绑定这个行为，那个SSL证书是怎么“绑定”上该IP的，能否解答下？ ...

我说的可能不够严谨。不是绑定的意思。ssl证书还是根据域名来的，跟ip没有关系。
这个是先有鸡还是先有蛋的的问题。用ssl链接virtual host的时候，如果virtual host在同一个ip，浏览器跟服务器https会话，得先进行ssl链接，然后发送HOST信息来指明访问那个virtual host，但是这时候ssl已经建立，没有办法用另外的证书了。
apache和nginx都没有办法在同一ip上对不同的virtual host绑不同的ssl证书（严格来说，这并不是nginx和apache服务器的缺陷，则是https协议的缺陷，没考虑到vhost）。但是如果是多ip就可以，每个ip绑不同的证书。

作者: yang 时间: 2010-4-17 22:11

原帖由 dunhill 于 2010-4-17 20:42 发表

我说的可能不够严谨。不是绑定的意思。ssl证书还是根据域名来的，跟ip没有关系。
这个是先有鸡还是先有蛋的的问题。用ssl链接virtual host的时候，如果virtual host在同一个ip，浏览器跟服务器https会话，得先进行ssl链接， ...

其实我明白你前面说的意思了的，我没有表达清楚。
我明白一个域名一个SSL证书对应一个IP。
现在www和sub都绑定在一个目录，IP指向也是同一个。我是先申请到www证书，后申请sub证书，但是实际操作时遇到点问题，所以www没能够先访问成功，第一次成功访问https是sub域名，那么这个IP就跟sub的证书对应上了，不过指向这个IP上的域名用https访问的时候根据IP也只能对应sub那张SSL证书了，是这个意思吗？
还是有疑问，不管哪个域名指向该IP访问，对应的SSL证书也只有一张，这个IP跟域名SSL证书相对应这个关系是由我的服务器作出的还是SSL证书颁发者来决定的？如果是由我的服务器的话是否把对应的SSL证书撤销掉就能换个证书换个域名正常访问？
不好意思，问题比较多，因为需要在生产环境应用SSL证书，怕给弄错了，虽然IP比较多，但怕搞错浪费了。

作者: cnx 时间: 2010-4-17 22:13
标题: 回复 9# 的帖子
ssl如果只是绑域名的话，我想它其实是失去了意义。
虽然看起来是像只绑了域名。

作者: yang 时间: 2010-4-17 22:40

原帖由 cnx 于 2010-4-17 22:13 发表
ssl如果只是绑域名的话，我想它其实是失去了意义。
虽然看起来是像只绑了域名。

中间人欺骗？

作者: dunhill 时间: 2010-4-18 03:41

原帖由 yang 于 2010-4-17 22:11 发表

这个IP跟域名SSL证书相对应这个关系是由我的服务器作出的还是SSL证书颁发者来决定的

ip和证书没有任何关系。你可以随时换ip，或换到另外的机器上。只是一个ip没办法同时用多个证书，目前。

作者: yang 时间: 2010-4-18 06:54

原帖由 dunhill 于 2010-4-18 03:41 发表

ip和证书没有任何关系。你可以随时换ip，或换到另外的机器上。只是一个ip没办法同时用多个证书，目前。

我也没打算一个IP多个SSL证书，我的VPS有很多个IP，关键无论哪个IP哪个域名访问，只要是https访问弹出的都是那个SSL证书，目前同一台服务器下nginx多IP多域名多SSL证书中文资料难找，英文的有些说有，但是也没怎么说清楚怎么解决这个问题。

作者: dunhill 时间: 2010-4-18 08:00

原帖由 yang 于 2010-4-18 06:54 发表

我也没打算一个IP多个SSL证书，我的VPS有很多个IP，关键无论哪个IP哪个域名访问，只要是https访问弹出的都是那个SSL证书，目前同一台服务器下nginx多IP多域名多SSL证书中文资料难找，英文的有些说有，但是也没怎么说清楚怎么解 ...

这样的啊，每个virtual host绑到不同的ip了么？把站点配置文件贴出来看看

作者: hidaigou 时间: 2010-4-18 10:45

原帖由 yang 于 2010-4-18 06:54 发表

我也没打算一个IP多个SSL证书，我的VPS有很多个IP，关键无论哪个IP哪个域名访问，只要是https访问弹出的都是那个SSL证书，目前同一台服务器下nginx多IP多域名多SSL证书中文资料难找，英文的有些说有，但是也没怎么说清楚怎么解 ...

确实如此，我的服务器上lnmp，两个域名用的不同的ip，也有不同的ssl证书，但是访问第一个域名正常，访问另外一个域名，提示的证书也是第一个的。

作者: mns 时间: 2010-7-19 14:45
http://www.ruby-forum.com/topic/186664

http://nginx.org/pipermail/nginx/2009-May/012201.html

[ 本帖最后由 mns 于 2010-7-19 14:47 编辑 ]

作者: Host.HowPick 时间: 2010-7-19 15:09

原帖由 dunhill 于 2010-4-18 03:41 发表

ip和证书没有任何关系。你可以随时换ip，或换到另外的机器上。只是一个ip没办法同时用多个证书，目前。

作者: Host.HowPick 时间: 2010-7-19 15:11
你域名换个IP 绑定不就得了？主域一个 IP
子域一个Ip

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)