多域名 SSL 证书

多域名 SSL 证书

我们有一个产品(托管 PHP 应用程序),我们将为人们提供 SSL 证书以及一些托管服务。

我们完全控制托管环境,设置用户 vhost 配置、文档根目录等等。

我们正在研究多域名证书,这将允许我们将许多域名捆绑到一张证书中,最终为用户节省不少钱。

据我所知,当从证书中添加或删除域名时,需要撤销旧域名并创建新域名 - 对吗?

其他地方还有这种 API 吗?

这个地方似乎提到他们的产品适合共享托管以及处理单个 IP。有人有经验吗?

http://www.comodo.com/business-security/digital-certificates/multi-domain-ssl.php

答案1

我不建议使用多域证书(更不用说根据其经销商的近期安全历史记录从 Comodo 购买证书),因为每当您签约新的托管客户时,您都需要撤销并重新签发证书。如果您有 50 个客户并签约了新客户,您不会希望仅仅因为添加新客户而影响这 50 个客户,您的系统管理人员也不会希望每次签约(或失去)客户时修改 50 多个站点配置。

我认为,如果将网站结构设计得让客户名称位于域名的主机部分,那么效果会更好。例如,customer1.yourdomainname.com、customer2.yourdomainname.com 等。

您可能需要考虑从其中一个 CA 获取托管 pki 解决方案,因为您可以更好地控制证书管理和维护。

如果您不想投资托管 pki 路线,也许通配符证书更适合您。证书维护仍会从客户配置流程中删除(当然,除非您的通配符证书的私钥被泄露)。

话虽如此,我不确定是否有任何 CA 有 API,但 OpenSSL、NSS、GNU-TLS 和 JSSEAPI,因此证书配置过程的很大一部分仍可以脚本化和/或自动化

答案2

如果您认为证书已被盗用,则只需撤销证书。如果您只想添加或删除名称,则可以颁发新证书而无需撤销旧证书。可以用新证书代替旧证书并重新加载 Web 服务器配置,无需进行大量重新配置工作或停机。

是否对颁发新证书收取任何费用是各个 CA 的商业决定。有些 CA 可能将其视为“重新颁发”并免费颁发,而其他 CA 则不会。

除了成本之外,在同一证书上拥有多个域名的一个优点是您可以从同一个 IP 地址为它们提供服务,而无需依赖 SNI。

自从这个问题发布以来,“lets encrypt”就出现了。它们似乎非常适合这个应用程序。它们允许同一个证书上有多个域。不收取任何费用,并且从一开始就设计为自动化。

相关内容