像sni.cloudflare.com那种多域名证书在哪里可以申请?

chuanchuanlak · 发表于 2021-3-13 23:39:56

本帖最后由 chuanchuanlak 于 2021-3-13 23:41 编辑

就是比如我今天申请了一个证书填写的域名是 abc.com,

过了几天可以为该证书添加新域名 def.com,

因为我发现cf的ssl证书全部显示都是签发给sni.cloudflare.com的, 但是所有几百万个域名都可以用,

当然更新证书是直接只需要云更新, 之前已经签发好的证书秘钥公钥这些不能去改, 因为更新这个每次要重启apache肯定不行的

iks · 发表于 2021-3-13 23:43:47

你理解偏差了

Cloudflare 为每个域名签发的通用证书的 commonName 都是 sni.cloudflaressl.com，你自己的域名包括在证书的 dNSAltName 里面，只有这个字段和你实际访问的域名一致，才算证书正确。

你看上去几百万张 sni.cloudflaressl.com 其实都不是同一张证书，它们的 dNSAltName 不同，对应的私钥也完全不是同一个。

iks · 发表于 2021-3-13 23:47:30

另外，CA 可以对同一个私钥对应的公钥进行签名，签名的产物就是证书。证书有效期是写死在证书里的，过期必须重签，故私钥可以不更换但证书(由 CA 签署的公钥)到期必须更换

chuanchuanlak · 发表于 2021-3-13 23:47:48

iks 发表于 2021-3-13 23:43
你理解偏差了

Cloudflare 为每个域名签发的通用证书的 commonName 都是 sni.cloudflaressl.com，你自己的 ...

原来如此

edgeNAT · 发表于 2021-3-13 23:48:35

楼上大佬说的多，那应该就是这样吧

iks · 发表于 2021-3-13 23:49:20

另外不要对「云」「重启」这些字眼胡乱理解。Nginx 重载的时候不会影响业务，apache 也是，更换证书必须重载。

iks · 发表于 2021-3-13 23:52:03

另外证书内容也是写死了的，你给 abc.com 签了证书之后不能想当然地往里面加域名，可以签张新的或吊销旧的然后重签

		自动登录	找回密码
密码			注册

[疑问] 像sni.cloudflare.com那种多域名证书在哪里可以申请?