我们希望建立一项服务,让位于不同数据中心的多个盒子允许 HTTPS 访问。我们希望购买通配符 SSL 证书来处理任意数量的虚荣子域。
我们主要考虑 goDaddy 的通配符 SSL 证书。有人设置过类似的东西吗?我们考虑过 Digicert 的产品,但我们想寻找更便宜的选择。
答案1
我们对大多数网站使用 GoDaddy 的通配符证书。我们所有的网站都由多台服务器托管。在创建 CSR 的服务器上安装证书后,将证书导出到 PFX 文件并将其导入到其他服务器。客户端不会知道其中的区别。
GoDaddy 知道我们这样做,但他们从未质疑过我们。
答案2
http://www.digicert.com具有非常灵活的许可,包括在您的域内为 UC 和 Wildcards 进行无限制安装。我们在 Exchange 上使用他们的 UC,并且由于定价和许可灵活性,正在从 Verisign 和 Thawte 转向 Digicert 用于其他系统。他们还提供 30 天试用,在此期间他们会颁发有效期为 30 天的证书,供您在系统上进行测试。到目前为止,他们对我们来说非常棒。
答案3
您也可以创建自己的通配符证书。您不会获得“品牌名称”和随之而来的保险,但它同样安全。如果 SSL 连接不供公众使用,而仅供您自己使用,我建议您这样做以节省资金。
以下是该过程的草稿(使用 Keystore),您必须对其进行破解以供自己使用。您必须使用以下内容作为“提示”来学习如何自己完成此操作:
:: create authority
openssl req -config %OPENSSL_HOME%\openssl.cfg -new -x509 -extensions v3_ca -keyout %OPENSSL_HOME%\..\demoCA\private\cakey.pem -out %OPENSSL_HOME%\..\demoCA\cacert.pem -days 1096
:: create wildcard cert in keystore, cn name *.site.com
keytool -genkey -alias wildcard -keyalg RSA -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb
:: generate CSR
keytool -certreq -alias wildcard -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -file %OPENSSL_HOME%\..\myCerts\wildcard.csr
:: import CA from previous step into keystore
keytool -import -alias root -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -trustcacerts -file %OPENSSL_HOME%\..\demoCA\cacert.pem
:: sign CSR with CA and convert to DER format
openssl ca -config %OPENSSL_HOME%\openssl.cfg -policy policy_anything -out %OPENSSL_HOME%\..\myCerts\wildcard.crt -infiles %OPENSSL_HOME%\..\myCerts\wildcard.csr
openssl x509 -in %OPENSSL_HOME%\..\myCerts\wildcard.crt -inform PEM -out %OPENSSL_HOME%\..\myCerts\wildcard.der -outform DER
:: import chain of wildcard cert
keytool -import -alias wildcard -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -trustcacerts -file %OPENSSL_HOME%\..\myCerts\wildcard.der
答案4
我发现最便宜的是启动SSL。他们只收取年度验证费用,并且您可以根据需要为不同的域名获取任意数量的通配符证书。