遇到一点证书问题,望运维大佬给看看

freaks · 12 小时前 · 2720 次点击

就是我使用 Let's Encrypt 给一个域名签发了证书,比如 example.com 这个主域名,签发时我输入的域名为:*.example.com , 但是我使用 edge 浏览器访问 example.com 死活报不安全,也没有锁图标显示,但是看证书信息签发都正常的,日期也是正常的,我换个浏览器访问主域名,可以正常显示,不提示不安全,访问相应的二级域名:a.example.com 也没有问题,我就奇了怪了,edge 为啥不行,cookie 和缓存都清了,隐身模式也不行,是非要在签发时输入主域名和泛域名才行吗?望知道的大佬指点下,再次谢过。

举报· 2720 次点击
登录 注册 站外分享
25 条回复  
yuzo555 小成 10 小时前
通配符证书所采用的“通配符”与文件匹配的采用的通配符规则类似: * 这个字符就是一个通配符,他在域名匹配模式中表示 0 到任意长度的合法字符 . 在正则表达式里面表示任意字符,但在域名匹配所采用的普通通配符模式中 . 就是一个普通字符,就表示半角的“点”本身。 *.example.com 其中有个“.”,就注定了它无法匹配到 example.com 这个主域名。 不过,一般稍微正规一的证书机构在签发通配符证书时,即使客户不懂,没有要求,他们也都会在 SAN 中添加上主域名本身,也就是说一般正规机构签发的证书都会支持 example.com 和 *.example.com 两个域名。 但由 ACME 客户端签发的 LE/ZeroSSL/GTS 免费证书,默认情况下不会为你贴心地考虑这个问题,你都选择免费证书了,要求你点动手能力不过分吧,你得主动在申请中同时添加两个域名才行。
billbob 初学 10 小时前
你认真看下 Let's Encrypt 文档,我记得首页就有域名匹配规则
qoo2019 小成 11 小时前
@freaks 真要深入,你不应该复制,而应该抓包,看浏览器发送出去的是啥
COW 初学 11 小时前
这么说 edge 的实现还挺安全的
freaks 楼主 小成 11 小时前
@lcy630409 #15 @abolast @pridealloverme @263 @xinzhanghello 谢谢各位了,我还是都签吧,就是不知道为啥火狐可以。https://i.imgur.com/NIvxivj.png
xinzhanghello 小成 11 小时前
虽然不知道原理,但是 C F 上生成 server origin 证书时,*.example.com 和 example.com 是分开显示的,所以我推测这个东西需要两个都要单独签
263 小成 11 小时前
先要搞清楚证书的类型,普通通配域名你需要签两个 example.com *.example.com https://www.wosign.com/column/ssl_20211231.htm
lcy630409 小成 11 小时前
测试的 edge 也是一样的 https://i.imgur.com/hSYix7Z.png
lcy630409 小成 11 小时前
https://i.imgur.com/Ks0T2hM.png
123下一页
返回顶部