顶级域名的多域名网站部署TrustAsia多域名SSL证书报不可信,这个情况是有几个问题凑在一起才会出现。
- 使用FreeSSL免费申请的TrustAsia多域名SSL证书。
- 顶级域名和www域名绑定在同一个网站下。
文章https://jz.fishme.cn/99.html,理论上是一种可行的解决思路。
其逻辑是访问非https顶级域名时,网站非加密访问不会报SSL证书不可信。此时直接301重定向到https的www域名,网站加密访问使用的是与www域名匹配的通配域名证书,也不会报SSL证书不可信。
试验证明在大多数浏览器上确实也解决了问题,但奇怪的是手机UC浏览器访问非https顶级域名依然报不可信。
无奈之下,只能换一个思路进一步处理问题。
再次梳理发现上面问题使用的是TrustAsia多域名证书,其顶级域名和www域名是两个不同的SSL证书。
两个不同证书部署在同一个网站的两个域名下,逻辑原本就自相矛盾。解决思路有二:
- 把一个网站变成两个网站,让两个域名和两个证书各自对应。
- 让两个证书变成一个证书。
第一个解决思路,理论上在宝塔面板里配多一个网站指向相同目录,然后每个网站分别绑定域名、分别部署对应证书即可。不过个人不喜欢这种处理方法,并没有进行验证。
第二个解决思路,我查阅了一些目前国内应用比较广泛的免费SSL证书对应的资料(主要就是TrustAsia和Let’s Encrypt),对比如下:
| 证书 | TrustAsia双域名 | TrustAsia多域名 | Let’s Encrypt |
| 类型 | DV 域名型 | DV 域名型 | DV 域名型 |
| 证书有效期 | 1年 | 3个月 | 3个月 |
| 是否支持通配 | 不支持 | 支持 | 支持 |
| 其他问题 | 支持域名数量少 | 顶级域名和通配域名是两个不同的SSL证书 | 360浏览器非信任根证书 |
根据对比情况,我先重新申请一个Let’s Encrypt通配证书部署。
部署完成之后确实不会报证书不可信了,但是360浏览器非信任根证书也是挺麻烦的一个问题。毕竟国内360的装机量不小,除非网站单纯面向国外,如外贸网站。
不得已,只能先放弃Let’s Encrypt证书,转而申请TrustAsia双域名证书。
虽然双域名少,但主站只绑定了顶级域名和www域名倒是够用了,1年的有效期倒也免去了3个月就要续签的麻烦。
主站之外,其他二级域名站点可以继续使用通配域名证书。
到这里,顶级域名的多域名网站部署TrustAsia多域名SSL证书报不可信的问题处理终于告一段落。