SSL：证书在哪里托管？验证何时发生？

Question

我在这里很困惑：

我用DNSMadeeasy来管理我的DNS。我有两个应用程序。

• 一个是Heroku托管，并在https上有https://example.com - Heroku有很多很棒的教程来设置证书，但这不是问题。
• 另一种是一个WordPress，在1and1托管（尽管这一问题并不应该在这里），并在到达和http://subdomain.example.com我们希望它是可在https://subdomain.example.com

的1and1不出售SSL证书，但正如他们所说，他们的自动化设置只有在使用他们的DNS服务时才能正常工作。他们的支持表示它应该是DNSMadeEasy，它应该托管我们的SSL证书。我感觉这不是真的，因为对于https://example.com，DNSMadeEasy从未涉及。

问题：

• 没有证书查询时发生？ 之前,之后或并行 DNS解析？
• 谁在托管证书？ DNS提供商？ 服务器（可以像在根目录的sitemap.xml一样访问）？ 第三方？
• 要扩大案例，一般情况下，如果我有一个具有修复IP的个人服务器，我如何通过https与有效证书进行通信？
• 在我的情况下，我怎样才能让我的出路，使https://subdomain.example.com工作？

Answer 1

你是不相信1and1的建议。

回答您的问题：

• 什么时候出现证书查询？ DNS解析之前，之后或并行 ？

客户端首先将域名解析为IP地址。所以DNS解析首先发生。

• 谁在托管证书？

服务器（简单来说）承载证书。

当客户端想要连接到您的站点（通过HTTPS）时，它将首先与端口443上的该IP地址建立安全连接（这就是为什么通常（无SNI）每个IP地址只能有一个SSL证书）。作为此过程的一部分（称为握手），客户端还可以指定服务器名称（所谓的服务器名称扩展名） - 这是您的站点的域名。如果您拥有对多个域有效的SSL证书，这非常有用。

好/详细解释它是如何工作的人能在这里 http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html

• 发现，如果我有一个固定IP的个人服务器，我怎么能沟通 通过HTTPS使用有效的证书？

您的服务器需要能够在端口443上响应，并拥有/承载解析为该IP地址的域的SSL证书。

• 在我的情况，我怎么能得到我的出路是使 https://subdomain.example.com工作？

您需要购买subdomain.example.com的证书并将其安装在wordpress服务器上。 通常在像您这样的托管解决方案，你有两个选择：

1. 购买（在你的情况的1and1）通过提供SSL证书 - 一个简单的选择，他们会为您配置一切。

2. 自己购买SSL证书。在这里，您很可能需要登录到您的1and1/Wordpress管理界面并生成CSR（实质上是一个证书请求）。然后您使用此CSR购买SSL证书，然后您可以通过相同的管理界面进行安装。 该过程将类似于此： http://wpengine.com/support/add-ssl-site/