子域的 https 证书问题

Question

我的应用程序在负载均衡器后面的 EC2 上运行。 已获得 www.example.com 和 *.example.com 的 https 证书。

应用程序在 http 上运行，但 https 已在负载均衡器中设置。

我已经根据公司在我的应用程序中添加了子域支持。

比如，https://XYZ.example.com 代表 XYZ 公司。

如果我使用 https://XYZ.example.com 访问，它工作正常。

如果我使用 https://www.XYZ.example.com 访问，浏览器会发出类似警告，

“www.arun.contactcentral.io 的所有者对其网站的配置不当。为了保护您的信息不被盗，Firefox 没有连接到该网站。”

但是，如果我访问https://www.example.com，它工作正常。

虽然，我已经获得了 *.example.com 的认证，但即使我访问 www.XYZ.example.com，它也不起作用。

我有一个过滤器来处理 http 到 https 的方向，但它仍然没有从 url 过滤 WWW。

public class HttpsFilter implements Filter {

    private static final String HTTP = "http";

    private static final String HTTPS = "https";

    private static final String X_FORWARDED_PROTO = "X-Forwarded-Proto";

    @Override
    public void doFilter(final ServletRequest req, final ServletResponse res, final FilterChain chain) throws IOException, ServletException {


        HttpServletRequest request = (HttpServletRequest)req;

        HttpServletResponse httpResponse = (HttpServletResponse) res;

        String xfp = request.getHeader(X_FORWARDED_PROTO);

        if (HTTPS.equals(xfp)) {
            //httpResponse.setHeader("Strict-Transport-Security", "max-age=60");

            chain.doFilter(req, res);
            return;
        }
        else if (HTTP.equals(xfp)) {

            String serverUrl = HTTPS+"://"+req.getServerName()+((HttpServletRequest)req).getServletPath();

            httpResponse.sendRedirect(serverUrl);
            return;
        }

    }

}

谢谢， 巴斯卡尔.S

Answer 1

通配符 SSL 证书将仅匹配 ONE 级别的子域（极少数且不受支持的情况除外）。通配符星号将不匹配。 （点）。

因此，*.example.com 的证书将匹配

• www.example.com
• xyz.example.com
• some-really-long-name.example.com

但它不会匹配

• example.com
• www.xyz.example.com
• abc.def.ghi.example.com

如果要匹配 www.xyz.example.com 和 xyz.example.com，则需要两个不同的证书。

https://en.wikipedia.org/wiki/Wildcard_certificate#Limitation