我的公司想要将 SSL 证书部署到我们自己的一些网站以及我们的 RADIUS 服务器(Cisco ACS)。
获取 5-10 个单主机证书或为整个域获取单个通配符证书(即:所有主机通用)有什么实际区别?
所有主机都在同一个域中。我不确定要选择什么证书。
谢谢,
答案1
我刚刚问了一个类似的问题。我相信权衡的一部分是成本和安全性。如果一个证书被泄露,那只是 5-10 个证书中的一个,但你为每个证书支付的费用更高。如果你有一个证书,费用会少一些,但如果它被泄露,你现在将面临 10 个故障点。
来自另一个网站:
SSL 通配符证书不适用于多级。这意味着 *.mydomain.com 的 SSL 证书通配符不适用于 www.mail.mydomain.com
我鼓励你阅读http://www.sslshopper.com/best-ssl-wildcard-certificate.html对于 Wildcard 证书的优点/缺点。
答案2
我们采用通配符,并确保它不可导出,这样人们就无法随意使用它。优点是您只需要一个,因此您只需在一个地方生成它,而不是为每个证书生成和填写证书。
缺点是更新时必须同时更换所有部件。这意味着你最好知道所有使用的地方。
我还看到一些设备不像通配符证书,尽管我可以随手找到任何具体的例子。它们似乎只需要 FQDN,并且无法将 *.domain.com 与它们正在交付的内容相匹配。只是需要注意的事情。
菲尔。
答案3
如果您有大量子域名需要覆盖,通配符证书会非常有效,但请注意并非所有浏览器都支持通配符证书。许多移动浏览器都不支持通配符证书,因此如果您打算使用非 PC 设备访问网站或任何 Web 服务,您需要在购买前进行测试并确保通配符证书可以正常工作。
对于 5 个域名,我建议使用标准 SSL 证书。10 个域名有点过分,因为这会开始成为维护和成本问题。如果您的网站必须在所有客户端设备(iPhone、Android、BlackBerry、WP7、PC、Mac 等)上运行,那么最好的选择是使用知名品牌提供商的标准证书。