為Heroku域指定SSL端點

Question

我有兩個Heroku應用程序層（一個生產和一個暫存應用程序）

我的DNS配置為指向其中一個，具體取決於子域。

• *.example.co > app-production
• *.staging.example.co > app-staging

SSL

都啟用了SSL附加功能。 相同的完全相同的SSL通配符證書將上載到這兩個證書。

> heroku certs --remote production
Endpoint                      Common Name(s)            Expires               Trusted
----------------------------  ------------------------  --------------------  -------
tokushima-XXXX.herokussl.com  *.example.co, example.co  2018-10-10 00:00 UTC  True


> heroku certs --remote staging
Endpoint                      Common Name(s)            Expires               Trusted
----------------------------  ------------------------  --------------------  -------
hiroshima-XXXX.herokussl.com  *.example.co, example.co  2018-10-10 00:00 UTC  True

域

每個都有在Heroku中配置的相應域

> heroku domains --remote production

=== app-production Custom Domains
Domain Name                    DNS Target
-----------------------------  -------------------------------------
*.example.co                   tokushima-XXXX.herokussl.com
example.co                     tokushima-XXXX.herokussl.com


> heroku domains --remote staging

=== app-staging Custom Domains
Domain Name           DNS Target
--------------------  ------------------------
*.staging.example.co  app-staging.herokuapp.com   <-- should this be the SSL endpoint?

題

以上所有方面在路由方面都可以正常工作。

• foo.example.co訪問我的生產應用
• foo.staging.example.co訪問我的登台應用程序

但是， 在暫存時，SSL不起作用。 我收到一個“證書不受信任”錯誤，即使它是同一證書也是如此。

我強烈懷疑這是因為在配置暫存域時，DNS目標應該是SSL端點，而不是直接的heroku應用URL。

但是我沒有辦法編輯它。 如果我做

> heroku domains:add *.staging.example.co --remote staging

它會自動為我添加DNS目標。 在Prod上，它會自動添加SSL端點。

有沒有解決的辦法？

Answer 1

ssl通配符證書的行為如下：* .example.com的證書對foo.example.com有效，但對bar.foo.example.com無效。

這是在rfc 2818中指定的，該內容為

名稱中可能包含通配符*，該通配符*被認為與任何單個域名組件或組件片段匹配。 例如，*。a.com與foo.a.com匹配，但與bar.foo.a.com不匹配。 f * .com匹配foo.com，但不匹配bar.com