对子域名使用 SSL 证书的最佳做法是什么?
目标是为域 y.com 生成一个证书,然后将其用于子域 xycom?
这是正确的做法吗?或者最好为 y.com 和 xycom 生成单独的证书?
谢谢!
答案1
除非您购买了以子域名作为主题 ALT 名称值的证书,否则您需要通配符证书。
domain.com 的基本 SSL 证书通常不支持 sub.domain.com。
最佳实践可能更多地取决于个人喜好,为了便于管理,使用通配符证书或多域证书可能更容易。但是,如果运行证书的某个域或计算机受到威胁,并且您需要撤销证书,则必须撤销整个证书,而不仅仅是单个域。因此,如果这是针对很多机器的,那么可能不建议这样做。
证书的最终安全性取决于拥有不同的私钥和单独的证书,但对于许多站点来说,这可能成为一个管理问题。