就是我使用 Let's Encrypt 给一个域名签发了证书,比如 example.com 这个主域名,签发时我输入的域名为:*.example.com , 但是我使用 edge 浏览器访问 example.com 死活报不安全,也没有锁图标显示,但是看证书信息签发都正常的,日期也是正常的,我换个浏览器访问主域名,可以正常显示,不提示不安全,访问相应的二级域名:a.example.com 也没有问题,我就奇了怪了,edge 为啥不行,cookie 和缓存都清了,隐身模式也不行,是非要在签发时输入主域名和泛域名才行吗?望知道的大佬指点下,再次谢过。
第 1 条附言 · 10 小时 16 分钟前
感谢各位 L 回复,我看了下确实是只有 Firefox 可以,edge 和 chrome 都不行,之前都是买的泛域名证书,估计默认就是主域名和泛域名都打到一个证书里了,下次申请免费的会注意的。
41 条回复 • 2024-12-23 17:55:03 +08:00
 |
1
just1 14 小时 43 分钟前 via Android
是
|
 |
2
wangmn 14 小时 42 分钟前
|
 |
4
AoEiuV020JP 14 小时 40 分钟前
> 我换个浏览器访问主域名,可以正常显示,
这是哪个浏览器?确定停用缓存刷新一下还是可以访问吗?可以访问才有问题,泛域名一直都不包含主域名, |
 |
5
qoo2019 14 小时 38 分钟前
@AoEiuV020JP 应该是浏览器自动补全了 www.
楼主又一知半解 |
 |
6
lcy630409 14 小时 37 分钟前
|
 |
7
esee 14 小时 36 分钟前 via Android  2
泛域名不包含主域名,要签两个的
|
 |
8
freaks OP @AoEiuV020JP 火狐和 chrome
|
|
11
freaks OP 搜了几篇文档,都说泛域名包括主域名
|
 |
13
abolast 14 小时 2 分钟前
|
 |
14
pridealloverme 13 小时 57 分钟前
直接对比 edge 和其他 浏览器获取到的证书哈希,看是不是同一张证书。先排除是不是证书问题
|
|
15
lcy630409 13 小时 56 分钟前
|
|
16
lcy630409 13 小时 56 分钟前
 |
|
17
lcy630409 13 小时 56 分钟前
 |
|
18
lcy630409 13 小时 53 分钟前 1
测试的 edge 也是一样的
 |
 |
19
263 13 小时 52 分钟前
|
 |
20
xinzhanghello 13 小时 48 分钟前
虽然不知道原理,但是 C F 上生成 server origin 证书时,*.example.com 和 example.com 是分开显示的,所以我推测这个东西需要两个都要单独签
|
|
21
freaks OP |
 |
22
COW 13 小时 40 分钟前
这么说 edge 的实现还挺安全的
|
 |
24
billbob 13 小时 25 分钟前
你认真看下 Let's Encrypt 文档,我记得首页就有域名匹配规则
|
 |
25
yuzo555 13 小时 24 分钟前
通配符证书所采用的“通配符”与文件匹配的采用的通配符规则类似:
* 这个字符就是一个通配符,他在域名匹配模式中表示 0 到任意长度的合法字符 . 在正则表达式里面表示任意字符,但在域名匹配所采用的普通通配符模式中 . 就是一个普通字符,就表示半角的“点”本身。 *.example.com 其中有个“.”,就注定了它无法匹配到 example.com 这个主域名。 不过,一般稍微正规一的证书机构在签发通配符证书时,即使客户不懂,没有要求,他们也都会在 SAN 中添加上主域名本身,也就是说一般正规机构签发的证书都会支持 example.com 和 *.example.com 两个域名。 但由 ACME 客户端签发的 LE/ZeroSSL/GTS 免费证书,默认情况下不会为你贴心地考虑这个问题,你都选择免费证书了,要求你点动手能力不过分吧,你得主动在申请中同时添加两个域名才行。 |
 |
26
zengxs 13 小时 22 分钟前
原理没那么复杂,就是直接看域名是否匹配
*.example.com 里面 * 表示任意字符(不包括 .) 再把 example.com 去匹配一下 *.example.com ,可以发现很明显就是不匹配的 |
 |
27
EchoYang7 13 小时 16 分钟前
|
 |
28
snw 12 小时 47 分钟前 via Android
|
 |
30
salmon5 11 小时 25 分钟前
Common Name 和 Subject Alternative Name ,2 个东西,免费的证书做的不是那么智能。
以前 digicert 也有这个傻不拉几的 Bug ,后来修掉了。 |
 |
32
viking602 10 小时 24 分钟前
*.example.com != example.com 这是两个域名
|
 |
33
lfmwO 8 小时 31 分钟前
你签名的最后的证书, 要用的那个证书
fullchain.cer |
|
34
lfmwO 8 小时 30 分钟前
有可能是证书链没有补全, 不存在其他问题, 你可以再试试看, 用 fullchain.cer
这个是补全证书链的 |
 |
36
leion8310 8 小时 24 分钟前
example.com 对应的域名规则是 @.example.com ,跟 *.example.com 不是一回事
|
 |
37
Zzdex 8 小时 9 分钟前
|
 |
38
aloxaf 8 小时 6 分钟前
|
 |
40
Hookery 7 小时 23 分钟前
學習了
|
Select Language