理解SSL

Question

试图了解SSL证书是如何工作的。以下内容正确：

我在www.example.com有一个网站，在mail.example.com有一个邮件服务器。这个网站是公开的，很多人都访问了。邮件服务器只面向我认识的一小群人。

我想将SSL添加到web和邮件服务器。据我所知，除非我购买通配符证书，否则该证书只对www.example.com或mail.example.com有效，对吗？我会从一家可靠的公司获得SSL证书的费用，我所有的网站访问者都会很高兴的。

为了节省一些钱，我正在考虑为邮件服务器获得一个免费的或自签名的证书。据我所知，在第一次访问邮件服务器时，我们的邮件用户将看到未知证书的警告消息。但是，一旦被邮件用户的计算机所接受，这个免费证书和付费证书之间会有什么区别吗？

有点相关的问题。目前，我在apache中将example.com设置为www.example.com的别名。因此，如果有人访问example.com (没有"www")，www.example.com的URL就停留在那里，而我的www.example.com证书将无效，对吗？因此，我需要添加重写规则来将example.com更改为www.example.com，对吗？

Answer 1

首先，您对SSL证书是如何工作的这一部分的理解是正确的(SSL有更多的内容)。如果您为*.example.com购买通配符证书，则可以将其用于您的子域。

接下来，如果试图访问您的客户端不信任CA (证书颁发机构，签署和验证您的*.example.com证书的证书)，则自由证书或自签名证书将引发危险标志。除非他们接受可信的CA，否则每次访问时都会得到提示。大多数客户都有一套他们信任的CA，这就是为什么orgs花巨资购买其中一个CA签署的证书，这是身份验证的形式，这是证书的一部分。虽然自签名证书当然是可行的，特别是如果您的电子邮件客户端基础很小，并且您可以告诉他们跳过他们设备上的服务器证书验证(如果这是一个交换服务器，或者他们将通过活动同步访问电子邮件，这种跳过服务器证书验证的操作必须在某些移动设备上完成)，但是由于www是公开的，所以我必须建议大家分头购买真正的证书，特别是如果这是针对任何类型的电子商务，我会亲自在一个站点w/一个无效证书上购物。希望这能有所帮助。