我们当前的设置利用多个 VPS 和多个域。
例如(是的,我知道这些 IP 都是假的,实际上无法使用。例如...)
alpha.domain.com 66.555.555
beta.域名.com 66.555.554
charlie.domain.com 66.555.555
delta.domain.com 66.555.557
假设前 3 个域名需要 SSL(https)
我在这里面临两个挑战。一个是多个域,另一个是多个 IP/服务器。(目前每个都在自己的服务器上,但理论上我们也可以将多个 IP 堆叠到单个服务器上……无论哪种方式,我相信都是同样的问题……)
对此来说,最好的证书方法是什么?如果 alpha 是我们的主要电子商务网站,那么我认为它应该有自己独特的 SSL。但其他的是辅助系统,主要运行 cron 和需要 Https 进行交互的后端脚本。是否可以在多个域/服务器/ip 之间共享一个证书,还是我们应该为每个域或每个 ip/服务器获取一个证书?
答案1
您可以获取列出所有这些子域的 UCC 证书(只要它们都在同一个域下),并将其分发到所有这些机器,或者(如果您有很多机器)获取 *.(您的域)的通配符证书。这两种证书都可以在多台机器上使用。SSL 根本不关心 IP。
答案2
如果您的辅助服务器纯粹供内部使用或管理团队使用,您可以轻松创建自己的小型认证机构并让您的服务信任它,同时为您的外部站点使用来自更受认可的 CA 的证书。
除非您使用服务器名称指示(我不确定所有工具是否都支持,尤其是对于非浏览器客户端),否则您只能为每个 IP 和端口组合使用一个证书。也许内部的东西不需要在标准端口上运行(取决于您的环境)。
也可以使用多种方法在同一个证书中包含多个主机名(请参阅对类似问题的回答)。