web-dev-qa-db-ja.com

CNAME SSL証明書

ページに画像があり、assets.example2.comのCNAMEであるasset.example.comにリンクしているwww.example.comにアクセスした場合。

Asset.example2.comに証明書がなくても、assets.example.comにある場合でも、緑色のロックを取得できますか?

42
maletor

DNSエントリがCNAMEレコードを使用するかAレコードを使用するかは関係ありません。重要なのは、クライアントが接続しようとしているホスト名です。そのリソースを提供するサーバーの証明書のサブジェクト代替名の1つと一致する必要があります(または、失敗した場合、証明書のサブジェクトDNのCN RDNと一致する必要があります)。

https://www.example.comhttps://assets.example.comに画像を埋め込む場合(両方にHTTPSを介してそれぞれ有効な証明書が提供される場合)、混合コンテンツがない場合(http://にリソースがロードされない場合、つまりJavaScriptはありません) 、画像もiframeもありません...)、必要に応じて緑/青のバーを取得する必要があります。

assets.example.comassets.example2.comに対するCNAMEであり、リクエストがhttps://assets.example.comに対して行われた場合、このマシンはassets.example.comに有効な証明書をクライアントに提示する必要があります。


さらに、このIPアドレス(および同じポート)で複数の証明書を同時に使用する必要がある場合は、サーバー名表示(SNI)のサポートが必要になる場合があります。

あるいは、これらの名前をすべてサポートする単一の証明書を使用することもできます。通常は、複数のサブジェクトの別名(SAN)エントリを使用するか、ワイルドカード名( 非推奨 )を使用します。

これは、DNS解決メカニズム(CNAMEまたはAレコード)とは無関係です。

65
Bruno