Мне нужны разъяснения / рекомендации по следующему.
У меня www.example.com
установлен на CMS на базе Cloudflare CDN.
Я хочу защитить поддомены, используемые для других приложений, размещенных на отдельных серверах (кроме Cloudflare):
app.example.com
servide.example.com
mail.example. com
CMS на базе Cloudflare имеет сертификат SSL, выпущенный для www.example.com
, и сообщает мне, что существующие сертификаты не могут быть перепрофилированы для их системы, и их сертификат не может охватывать контент, размещенный не на их серверах.
Насколько я понимаю, если этот сертификат не установлен в основном домене ( www.example.com
), мы не можем применять его в других поддоменах. Это правильно?
Другими словами, возможно ли иметь сертификат, предоставленный CMS под www.example.com
на своем сервере, и использовать подстановочный сертификат для защиты всех других поддоменов на отдельных серверах на в то же время?
Что касается проверки имен, клиент просто проверяет, соответствует ли имя, которое он обращается к серверу, списку имен, встроенному в сертификат, который представляет сервер.
Клиент не имеет возможности узнать, имеет ли другой сервер где-то в Интернете такое же имя в SAN.
Обратите внимание, что это вряд ли может вызвать путаницу, поскольку DNS гарантирует, что только один из серверы будут доступны.
То есть, если www.example.com
в DNS указывает на вашу службу, не предоставляемую Cloudflare, клиент подключится к этой службе и получит * .example.com
сертификат. Он пройдет проверку на соответствие имен и, следовательно, должен быть успешным.
Если вы теперь измените настройки DNS, чтобы указать www.example.com
на сервер Cloudflare, клиенту будет представлен сертификат, предоставленный Cloudflare. (только с www.example.com
) и при совпадении имен он все равно будет счастлив.
Между тем, любые имена, отличные от www.example.com
( ] app
, servide
, mail
и т. д.) будут указывать на сервер, отличный от Cloudflare, в DNS и с радостью использовать *. example.com
сертификат.
Вы используете сертификаты Cloudflare для сервисов Cloudflare. Просто забудьте об этом и позвольте "просто работать".
Вы приобретаете и используете внешний сертификат для внешних служб по мере необходимости, как и для любого другого DNS-сервера. За исключением записей A и CAA, размещенных в Cloudflare, они вообще не касаются.