关于AWS-ALB-侦听器上-SSL单域名证书及通配符域名证书的匹配规则及作用范围

在AWS,ELB下的ALB中，SSL/TLS证书是配置到Listener/侦听器中的（有时我们也会称为监听器），一般监听的是TCP/443号端口

一个侦听器中可以配置多个域名证书的，但默认的域名证书只有一个（当域名匹配不到最合适的证书时，就会使用默认证书）

也即是，当通过域名访问过来的时，会检查与域名最为匹配的域名证书，如果匹配不上、则会使用ALB的侦听器的默认证书

举例说明，假定我们有如下的一些配置：

1、我们有一个域名www.qq5201351.com,配置了CNAME到ALB

2、我们ALB的Listener/侦听器上也配置了 www.qq5201351.com 和 *.qq5201351.com 这个通配符域名证书

+++++++++++我们使用如下的访问操作时，会就有如下的一些匹配规则++++++++++++++++++++++

a、当我们访问https://www.qq5201351.com时,是能够匹配到正确的域名证书的

b、当我们访问https://xxxx.qq5201351.com时，也是能够匹配到上面的通配符域名证书的

 

但是一定要注意，如果是 aaa.bbb.qq5201351.com 这个域名也是配置好了CNAME到ALB的

当我们访问 https://aaa.bbb.qq5201351.com ，是没有办法使用*.qq5201351.com这个通配符域名证书的，

即便是因为匹配不到合适的证书，而使用了我们配置的默认的通配符证书（*.qq5201351.com）

浏览器都还是会视为域名与证书不匹配，提示不安全，因为 *.qq5201351.com 不能包含到 aaa.bbb.qq5201351.com

要解决的方法就是：到ALB的侦听器上再添加aaa.bbb.qq5201351.com 或者 *.bbb.qq5201351.com 通配符域名证书 

 

总结：通配符域名证书中的*是无法匹配到点的，即只能匹配不带.的一段连续的字符串

 

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/17593417.html