example.com に、s.example.com (Amazon クラウドフロント ディストリビューション) からすべての静的コンポーネントをロードするサイトがあります。
ここで、https を使用する example.com のいくつかのページを作成したいので、example.com の ssl 証明書を購入すると思いましたが、ページが s.example.com から画像やその他のものをロードするため、https が壊れます。一部のコンポーネントは暗号化されていません。
s.example.com の 2 つ目の証明書を購入することはできますか? 私が尋ねる理由は、ワイルドカード証明書を購入するよりも、2 つの単一ドメイン証明書を購入する方がはるかに安価だからです。
2 つのホストが同じサーバーと IP アドレス (仮想ホストを使用) で実行されているかどうかによって異なります。
example.com簡単な方法は、 2 つの異なる IP アドレス (おそらく同じマシン)をホストできるようにすることs.example.comです。この場合、それぞれに異なる証明書を構成できます。
2 つの名前に 1 つの IP アドレス (およびポート) を使用するように制約されている場合、2 つの異なる証明書を使用する場合は、比較的最近の (そしておそらくすべてのブラウザーでサポートされているわけではありませんが、最近のブラウザーでは動作するようです)。
SNI を使用できない場合は、同じ証明書が両方に対して同時に有効である必要がありますexample.com。s.example.comこれは、2 つの DNS エントリを Subject Alternative Name 拡張子に入れるか、ワイルドカードを使用することで実現できます。 2 つのホストのパターンが適切かどうか。これら 2 つのオプションは、商用 CA を使用する 2 つの個別の証明書よりもおそらく高価です。
後は@ring0 さんが既におっしゃっているhttps://ように、リンクを使ってページのコンテンツ (img...)にリンクするだけです。
さまざまな (サブ) ドメインのさまざまな証明書の問題は、ドメイン専用の IP が必要なことです。これは SSL の設計によるものです。最初の SSL 接続が確立され、この時点で証明書が検証されます。この時点では、サーバーは提示する証明書を認識していません。ハンドシェイクが成功した後にのみ、ドメイン名を含む HTTP リクエストが送信されます。
したがって、両方のドメインをカバーし、両方が同じ IP アドレスにある場合は、ワイルドカード証明書を購入する必要があります。
ページ内のすべてのコンポーネントがhttpまたはすべてhttpsである限り、ブラウザからのアラートなしで、異なるhttps://ドメインでページを実行できるはずです。
<img src="https://example.com/a.jpg"/>
<img src="https://s.example.com/b.jpg"/>
さまざまな証明書を最新の状態に保つ必要があります。