我们的主要网站 www.example.com 拥有常规的 VeriSign SSL 证书。但是,我们需要为我们的开发环境使用 SSL 来进行准确的测试。是否可以为我们的 dev.example.com 和 stage.example.com 域使用来自其他(更便宜)提供商的另一个 SSL?我们有一个具有不同 IP 的负载平衡器,因此拥有唯一的 IP 应该不是问题。
答案1
是的
这绝对是可能的。我曾与几家公司合作过,他们为生产站点购买昂贵的证书(例如扩展验证证书),并购买更便宜的证书(域验证证书),有时这些证书来自不同的证书颁发机构,用于开发和测试目的。
话虽如此,你可能需要用不同的方式来处理这个问题,特别是在考虑“准确测试”的动机时
首先,SSL 证书主要提供3个功能:
- 加密
- 正直
- 真实性
第一个功能是加密,无论您选择哪个 CA,它都会提供。DigiSign 签名的 2048 位 CSR 提供的加密强度与 VeriSign 签名的 2048 位 CSR 一样高。
第二个特性,完整性,在于连接的性质,即:客户端和受信任的服务器之间的加密消息交换。因此,如果对加密和真实性没有信心,就无法实现消息交换的完整性。此外,还会计算消息摘要,以确保消息在加密前和解密后是相同的
第三个特性,真实性,是由颁发 SSL 证书的 CA(例如 VeriSign)和用户(客户端)之间的信任关系决定的。这个很重要,因为客户端软件可能信任一个 CA,但不信任另一个 CA。例如:在移动设备上测试安全的 Web 应用程序。移动设备信任颁发“测试”证书的 CA,但一旦投入生产,一切都会崩溃,因为颁发生产证书的 CA 是不是受到移动设备的信任。
一个可能的解决方案(也是我经常推荐的解决方案)是使用通配符证书,与通配符子域组件匹配的证书,例如:*.example.com
。这样,您可以使用同一张证书保护www.example.com
、analytics.example.com
等。dev.analytics.com
通配符证书非常昂贵,但如果你拥有多个或更多网站,那么它可能值得你这么做
答案2
这将取决于您的 LB 配置和您的 Web 服务器选择和配置,但每个子域上应该可以有不同的证书。