顶级域名的多域名网站部署TrustAsia多域名SSL证书报不可信

顶级域名的多域名网站部署TrustAsia多域名SSL证书报不可信,这个情况是有几个问题凑在一起才会出现。

  1. 使用FreeSSL免费申请的TrustAsia多域名SSL证书。
  2. 顶级域名和www域名绑定在同一个网站下。

文章https://jz.fishme.cn/99.html,理论上是一种可行的解决思路。

其逻辑是访问非https顶级域名时,网站非加密访问不会报SSL证书不可信。此时直接301重定向到https的www域名,网站加密访问使用的是与www域名匹配的通配域名证书,也不会报SSL证书不可信。

试验证明在大多数浏览器上确实也解决了问题,但奇怪的是手机UC浏览器访问非https顶级域名依然报不可信。

无奈之下,只能换一个思路进一步处理问题。

再次梳理发现上面问题使用的是TrustAsia多域名证书,其顶级域名和www域名是两个不同的SSL证书。

两个不同证书部署在同一个网站的两个域名下,逻辑原本就自相矛盾。解决思路有二:

  1. 把一个网站变成两个网站,让两个域名和两个证书各自对应。
  2. 让两个证书变成一个证书。

第一个解决思路,理论上在宝塔面板里配多一个网站指向相同目录,然后每个网站分别绑定域名、分别部署对应证书即可。不过个人不喜欢这种处理方法,并没有进行验证。

第二个解决思路,我查阅了一些目前国内应用比较广泛的免费SSL证书对应的资料(主要就是TrustAsia和Let’s Encrypt),对比如下:

证书TrustAsia双域名TrustAsia多域名Let’s Encrypt
类型DV 域名型DV 域名型DV 域名型
证书有效期1年3个月3个月
是否支持通配不支持支持支持
其他问题支持域名数量少顶级域名和通配域名是两个不同的SSL证书360浏览器非信任根证书

根据对比情况,我先重新申请一个Let’s Encrypt通配证书部署。

部署完成之后确实不会报证书不可信了,但是360浏览器非信任根证书也是挺麻烦的一个问题。毕竟国内360的装机量不小,除非网站单纯面向国外,如外贸网站。

不得已,只能先放弃Let’s Encrypt证书,转而申请TrustAsia双域名证书。

虽然双域名少,但主站只绑定了顶级域名和www域名倒是够用了,1年的有效期倒也免去了3个月就要续签的麻烦。

主站之外,其他二级域名站点可以继续使用通配域名证书。

到这里,顶级域名的多域名网站部署TrustAsia多域名SSL证书报不可信的问题处理终于告一段落。

发表评论

您的电子邮箱地址不会被公开。