SSL：證書在哪裏託管？驗證何時發生？

Question

我在這裏很困惑：

我用DNSMadeeasy來管理我的DNS。我有兩個應用程序。

• 一個是Heroku託管，並在https上有https://example.com - Heroku有很多很棒的教程來設置證書，但這不是問題。
• 另一種是一個WordPress，在1and1託管（儘管這一問題並不應該在這裏），並在到達和http://subdomain.example.com我們希望它是可在https://subdomain.example.com

的1and1不出售SSL證書，但正如他們所說，他們的自動化設置只有在使用他們的DNS服務時才能正常工作。他們的支持表示它應該是DNSMadeEasy，它應該託管我們的SSL證書。我感覺這不是真的，因爲對於https://example.com，DNSMadeEasy從未涉及。

問題：

• 沒有證書查詢時發生？ 之前,之後或並行 DNS解析？
• 誰在託管證書？ DNS提供商？ 服務器（可以像在根目錄的sitemap.xml一樣訪問）？ 第三方？
• 要擴大案例，一般情況下，如果我有一個具有修復IP的個人服務器，我如何通過https與有效證書進行通信？
• 在我的情況下，我怎樣才能讓我的出路，使https://subdomain.example.com工作？

Answer 1

你是不相信1and1的建議。

回答您的問題：

• 什麼時候出現證書查詢？ DNS解析之前，之後或並行 ？

客戶端首先將域名解析爲IP地址。所以DNS解析首先發生。

• 誰在託管證書？

服務器（簡單來說）承載證書。

當客戶端想要連接到您的站點（通過HTTPS）時，它將首先與端口443上的該IP地址建立安全連接（這就是爲什麼通常（無SNI）每個IP地址只能有一個SSL證書）。作爲此過程的一部分（稱爲握手），客戶端還可以指定服務器名稱（所謂的服務器名稱擴展名） - 這是您的站點的域名。如果您擁有對多個域有效的SSL證書，這非常有用。

好/詳細解釋它是如何工作的人能在這裏 http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html

• 發現，如果我有一個固定IP的個人服務器，我怎麼能溝通 通過HTTPS使用有效的證書？

您的服務器需要能夠在端口443上響應，並擁有/承載解析爲該IP地址的域的SSL證書。

• 在我的情況，我怎麼能得到我的出路是使 https://subdomain.example.com工作？

您需要購買subdomain.example.com的證書並將其安裝在wordpress服務器上。 通常在像您這樣的託管解決方案，你有兩個選擇：

1. 購買（在你的情況的1and1）通過提供SSL證書 - 一個簡單的選擇，他們會爲您配置一切。

2. 自己購買SSL證書。在這裏，您很可能需要登錄到您的1and1/Wordpress管理界面並生成CSR（實質上是一個證書請求）。然後您使用此CSR購買SSL證書，然後您可以通過相同的管理界面進行安裝。 該過程將類似於此： http://wpengine.com/support/add-ssl-site/