nginx和一个域的两个证书(EV nad通配符)
问题描述:
我们为我们的domain.tld两个证书。一个与EV(对于domain.tld和www.domain.tld)以及子域的通配符。nginx和一个域的两个证书(EV nad通配符)
我们的网站运行在www.domain.tld(始终),子域用于图像(img.domain.tld)。
我们使用nginx的 “虚拟主机”:
server {
# listen 443;
listen 443 ssl spdy;
server_name domain.tld *.domain.tld;
ssl on;
# wildcard
ssl_certificate /usr/local/nginx/cert/wildcard/uni_STAR_domain_tld.crt;
ssl_certificate_key /usr/local/nginx/cert/wildcard/wildcarddomain.tld.key;
...
server {
# listen 443;
listen 443 ssl spdy;
server_name www.domain.tld;
ssl on;
# EV
ssl_certificate /usr/local/nginx/cert/wildcard/EV_cert_domain_tld.crt;
ssl_certificate_key /usr/local/nginx/cert/wildcard/EV.cert.domain.tld.key;
...
问题是,有时是使用的是www.domain.tld EV证书有时还包含通配符证书。为什么?
我们运行在单个专用IP地址上,但nginx已启用SNI支持。
答
当您认为通配符显示在www.domain.tld(而不是EV)中时,您是否可以检查证书的详细信息?也许它是电动车:
由于混合内容,浏览器可能会决定不显示EV绿色栏。
+1
我检查了证书的详细信息...它不是EV :( – davs
其中那些CONFIGS是首次列入? –
我试过切换它们。没有区别。有时在EV上有网站,有时在通配符上。现场正在改变一次会议。 – davs
只是一个想法:也许它是spdy:当你连接到domain.tld时,你的浏览器打开一个tls会话。当你连接到www.domain.tld时,ip是相同的,你对domain.tld IS的证书对于该请求是有效的,也许spdy只是决定重用先前的tls会话。 – Tom