Answers:
从http://old.example.com重定向到https://new.example.com不需要的证书old.example.com。但是从https://old.example.com到https://new.example.com的重定向确实可以。
如果人们的书签或搜索引擎搜索结果或其他外部链接指向https站点,则最好续订该证书。如果仅假设人们old.example.com在他们的浏览器中键入内容,则可能不需要它。(但是,如果它们以前曾在您的网站上并且浏览器会自动完成到https-url,则仍然需要它)。
据我了解,您已经进行了一段时间的重定向,最好检查一下(正如Tim Brigham所说的)您的Web日志并评估它是否值得解决。再说一次,即使由于某种原因您需要为主站点提供昂贵的证书(例如,使用扩展验证),重定向站点也应该可以使用一种普遍接受的免费证书(startssl,letsencrypt等)。
old.example.com具有证书,对吗?我最初将其表示为相反的方向...
续签证书是相对便宜的保险,但可能没有必要。
tl; 博士
您可能需要也可能不需要续订证书。许多站点仍使用纯http进行传入流量。如果旧站点仅在购物车之类时才切换为https,则没有足够的理由进行续订,尤其是在重定向已经存在一段时间的情况下。
我将亲自查看实例的IIS日志,以查看是否/有多少对旧域的请求正在积极地使用HTTPS并从那里继续。
假设您要将网站从www.olddomain.com移至www.newdomain.com
为了响应对https://www.olddomain.com/的请求而不会引起可怕的警告,您需要包含https://www.olddomain.com/的证书。无论您要发送的响应是否是重定向,这都适用。
另一方面,无需任何证书即可响应对http://www.olddomain.com/的请求。
仅输入您的站点名称的用户可能最终会请求http://www.olddomain.com/(除非您使用的是HSTS),但是如果您的旧站点以前将所有人都重定向到了https,那么书签和传入的链接将使用https网址。如果您的旧站点使用HSTS,则几乎所有传入请求都可能在https上。
与其为旧域和新域分配单独的证书,不如让单个证书覆盖两个域可能会更好。这样,您就可以在不依赖SNI的情况下将两个域托管在同一IP地址上。这种方法的缺点是,许多CA都将多域视为一项高级功能,并据此收费。