多域名 SSL 证书

Question 1

我不建议使用多域证书（更不用说根据其经销商的近期安全历史记录从 Comodo 购买证书），因为每当您签约新的托管客户时，您都需要撤销并重新签发证书。如果您有 50 个客户并签约了新客户，您不会希望仅仅因为添加新客户而影响这 50 个客户，您的系统管理人员也不会希望每次签约（或失去）客户时修改 50 多个站点配置。

我认为，如果将网站结构设计得让客户名称位于域名的主机部分，那么效果会更好。例如，customer1.yourdomainname.com、customer2.yourdomainname.com 等。

您可能需要考虑从其中一个 CA 获取托管 pki 解决方案，因为您可以更好地控制证书管理和维护。

如果您不想投资托管 pki 路线，也许通配符证书更适合您。证书维护仍会从客户配置流程中删除（当然，除非您的通配符证书的私钥被泄露）。

话虽如此，我不确定是否有任何 CA 有 API，但 OpenSSL、NSS、GNU-TLS 和 JSSE是API，因此证书配置过程的很大一部分仍可以脚本化和/或自动化

Answer

我不建议使用多域证书（更不用说根据其经销商的近期安全历史记录从 Comodo 购买证书），因为每当您签约新的托管客户时，您都需要撤销并重新签发证书。如果您有 50 个客户并签约了新客户，您不会希望仅仅因为添加新客户而影响这 50 个客户，您的系统管理人员也不会希望每次签约（或失去）客户时修改 50 多个站点配置。

我认为，如果将网站结构设计得让客户名称位于域名的主机部分，那么效果会更好。例如，customer1.yourdomainname.com、customer2.yourdomainname.com 等。

您可能需要考虑从其中一个 CA 获取托管 pki 解决方案，因为您可以更好地控制证书管理和维护。

如果您不想投资托管 pki 路线，也许通配符证书更适合您。证书维护仍会从客户配置流程中删除（当然，除非您的通配符证书的私钥被泄露）。

话虽如此，我不确定是否有任何 CA 有 API，但 OpenSSL、NSS、GNU-TLS 和 JSSE是API，因此证书配置过程的很大一部分仍可以脚本化和/或自动化

Question 2

如果您认为证书已被盗用，则只需撤销证书。如果您只想添加或删除名称，则可以颁发新证书而无需撤销旧证书。可以用新证书代替旧证书并重新加载 Web 服务器配置，无需进行大量重新配置工作或停机。

是否对颁发新证书收取任何费用是各个 CA 的商业决定。有些 CA 可能将其视为“重新颁发”并免费颁发，而其他 CA 则不会。

除了成本之外，在同一证书上拥有多个域名的一个优点是您可以从同一个 IP 地址为它们提供服务，而无需依赖 SNI。

自从这个问题发布以来，“lets encrypt”就出现了。它们似乎非常适合这个应用程序。它们允许同一个证书上有多个域。不收取任何费用，并且从一开始就设计为自动化。

Answer

如果您认为证书已被盗用，则只需撤销证书。如果您只想添加或删除名称，则可以颁发新证书而无需撤销旧证书。可以用新证书代替旧证书并重新加载 Web 服务器配置，无需进行大量重新配置工作或停机。

是否对颁发新证书收取任何费用是各个 CA 的商业决定。有些 CA 可能将其视为“重新颁发”并免费颁发，而其他 CA 则不会。

除了成本之外，在同一证书上拥有多个域名的一个优点是您可以从同一个 IP 地址为它们提供服务，而无需依赖 SNI。

自从这个问题发布以来，“lets encrypt”就出现了。它们似乎非常适合这个应用程序。它们允许同一个证书上有多个域。不收取任何费用，并且从一开始就设计为自动化。

多域名 SSL 证书

答案1

答案2

相关内容