关于 ssl 的一些使用问题。。求解答。。

既然楼主这样问，就说明还没有配置好吧，给个配置链接做参考： http://serverfault.com/questions/583374/configure-nginx-as-reverse-proxy-with-upstream-ssl

1.安全。
比如要代理 https://www.example1.com 到 https://reverse.example2.org
反代出来的ssl是安全的,在配置reverse.example2.org时要配置example2.org的ssl证书，这样浏览器不会提示不安全。但是如果你是说从ip直接访问会提示不安全，不管是example2.org还是example1.com还是google.com都会出现不安全提示。如:

This server could not prove that it is 173.194.72.104; its security certificate is from www.google.com

2.具体看你怎么操作。
域名不同，证书不会失效；即时域名相同，在不同证书服务商注册的域名应该也不会失效；同一个服务商如果允许重新注册，会失效吧。

3.没用过不知道

2.具体看你怎么操作。
域名不同，证书不会失效；即时域名相同，在不同证书服务商注册的域名 [证书] 应该也不会失效；同一个服务商如果允许重新注册 [证书] ，会失效吧。

@xdtianyu 其实反代我是当作CDN来用，降低源战负载，CDN后IP不是与证书对不上了嘛。。。所以特有此疑问，那不管源战，直接补发反代站IP的证书了只能。。。多域名证书真的好贵好贵。。。还想着如果支持子域名，每个都买一个然后分别反代都便宜。。。

@ji1043 谁告诉你证书里写 IP 的？揍他去！

@wzxjohn 那为何需要独立IP才能装ssl。。。服务器上生成的csr把。。。里面就包含了那些联系信息？？？

@ji1043 谁告诉你独立 IP 才能装 SSL ？揍他！

@wzxjohn 建议使用独立IP，但不是必须

@wzxjohn 。。。。。。。。你说的那种浏览器支持不友好吧！。。那意思就是证书可以传递？？源战的证书可以直接拿到反代站用？只要都是ng的？。。。。。cf的cnd后支持直接获得源战的证书并展现源战证书吗，不要他家的证书。。。。

@ji1043
@wzxjohn
@mgc
需要独立ip是大概因为有的客户端不支持SNI，这个还是很重要的。
http://en.wikipedia.org/wiki/Server_Name_Indication

比如你现在用的android里org.apache.http.client.HttpClient不支持，但是这个api用的还是很广的。服务器同一个ip绑定多个域名证书，如果客户端不支持SNI(请求时没有带hostname)而客户端验证证书的时候服务器返回缺省的证书(配置的第一个)就会出现证书错误的问题。

@xdtianyu 你说的没错，但是我还是要说，“独立 IP 才能装 SSL”是完全错误的，很多人认为的“SSL 证书包含 IP 信息”也是错误的。没错 SNI 确实有些客户端不支持，不过大部分都是老旧 XP 系统。你说的这个 API 已经支持 SNI 了。https://issues.apache.org/jira/browse/HTTPCLIENT-1119

@ji1043 除了 XP 都没有问题。然后似乎你对 SSL 真的是完全不了解。CDN 没有任何办法直接从源站获取证书并且传递给客户端，因为 CDN 没有你的私钥。但是你的意思似乎是自己搭建反代，这时候情况就不一样了。自己的服务器当然可以把私钥也放上去，没有任何问题。

顺便一说，目前的 CDN 实现 HTTPS 基本上都是通过多域名证书实现的，当然价格也不菲。除此之外基本上就是只能用 CDN 提供的域名实现 HTTPS ，比如七牛的服务。

@wzxjohn 233 我说的是"android里org.apache.http.client.HttpClient不支持"， 我知道apache httpclient支持的，android在推java.net.HttpURLConnection，apache的那个根本就不更新了，但HttpClient用的人还是很多的

@xdtianyu 那就没办法了。。。我只能说常用的浏览器之类的都支持，如果有 App 不支持请丢弃那个 App。

借楼顺便问个略相关的问题，怎么把已经被墙的http访问用户跳转到https去，就像本站一样。我设置302跳转、url redirection貌似都没成功。