Я ищу разъяснения / рекомендации по следующему.
у меня есть www.example.com установлен на CMS на базе Cloudflare CDN.
Я хочу защитить поддомены, используемые для других приложений, размещенных на отдельных серверах (не Cloudflare):
app.example.comservide.example.commail.example.comCMS на базе Cloudflare имеет сертификат SSL, выданный для www.example.com, и сообщает мне, что существующие сертификаты не могут быть перепрофилированы для их системы, и их сертификат не может охватывать контент, не размещенный ими.
Насколько я понимаю, если этот сертификат не установлен в основном домене (www.example.com) мы не можем подавать заявки на другие поддомены. Это правильно?
Другими словами, можно ли получить сертификат, предоставленный CMS, в www.example.com на своем сервере и использовать групповой сертификат для одновременной защиты всех других поддоменов на отдельных серверах?
Что касается проверки имен, клиент просто проверяет, совпадает ли имя, которое он обращается к серверу, со списком имен, встроенным в сертификат, который представляет сервер.
У клиента нет возможности узнать, что другой сервер где-то в Интернете, имеет то же имя в SAN.
Обратите внимание, что это вряд ли вызовет путаницу, поскольку DNS гарантирует, что только один из серверов будет доступен.
То есть, если www.example.com в DNS указывает на вашу службу, не предоставленную Cloudflare, клиент подключится к этой службе и получит *.example.com сертификат. Он пройдет проверку на соответствие имен и, следовательно, должен быть успешным.
Если вы теперь измените настройки DNS, чтобы указать www.example.com на сервер Cloudflare клиенту будет представлен сертификат, предоставленный Cloudflare (с www.example.com только) и по мере совпадения имен он все равно будет счастлив.
Между тем, любые не-www.example.com имена (app, servide, mail и т. д.) будет указывать на сервер, отличный от Cloudflare в DNS, и с радостью будет использовать *.example.com сертификат.
Вы используете сертификаты Cloudflare для сервисов Cloudflare. Просто забудьте об этом и позвольте "просто работать".
Вы приобретаете и используете внешний сертификат для внешних служб по мере необходимости, как и с любым другим DNS-сервером. За исключением записей A и CAA, размещенных в Cloudflare, они вообще не касаются.