我只是用签名的证书做了一些基本的事情(基本上遵循 CA 的指示)。
我有一些一般性的问题,希望有人能回答。有这么多不同类型的证书可供选择,价格也更高。我正在寻找一种经济实惠的方式来将 SSL 带到一个物理服务器上托管的多个服务。
服务器有域名:servername.mydomain.com
服务器还响应别名:www.mydomain.com,. mail.mydomain.com,mydomain.com
服务器还响应虚拟域:www.virtual1.com,,mail.virtual1.comwww.virtual2.com
据我所知,RapidSSL 等公司提供的基本 SSL 仅涵盖主要内容servername.mydomain.com。那么,如果有人访问虚拟域或别名,会发生什么?我们是否也需要为这些域获取证书?
有什么经济的方式可以覆盖上述所有场景?
那么,只覆盖主域中的所有别名怎么样?
答案1
您正在寻找的是 SAN(又名 UCC)、Wilcard 证书或 SNI。
- SAN = 主体备用名称。证书颁发给主体,最常见的是通用名称 (CN),如“www.example.com”。证书中可以包含备用名称。
- 问题是你必须给它们每一个都命名。例如“a1.example.com”、“a2.example.com”、“b1.example.com”。
- 好处是大多数提供商都以相当便宜的价格提供这种解决方案,并且几乎所有支持 SSL 的软件都能很好地支持它们。
- 通配符证书在某种程度上就是字面意思。您可以获得“*.example.com”的通配符证书,它将涵盖“anything.example.com”到“zebra.example.com”。
- 好处是您可以使用一个证书来管理单个域名的无限多个子域名。
- 有两个主要缺点。第一,您只能拥有一个通配符,因此它只能用于一个域。第二,通配符仅适用于它出现的级别。因此,如果您获得如上所述的通配符证书,它将不是适用于“level.two.example.com”
- SNI = 服务器名称指示器。这是一项新技术,使 Web 服务器能够在同一地址和端口上使用多个证书。通常,您只能在 IP:Port 元组上使用 1 个证书。如果您想使用多个证书,则必须使用多个 IP 或多个端口(端口往往不太好用,因为您需要在 URL 中明确指定端口,而普通用户永远不会知道输入端口号,甚至不知道如何输入)。
- 优点:您可以在同一台服务器上使用上述证书的任意组合。这使得托管您在问题中提到的所有内容变得相当容易。
- 缺点:只有很少的服务器软件支持它,大多数主要的 Web 服务器在其最新版本中都支持它,但不是全部,而且在 Web 服务器之外,它非常罕见。
- 更糟糕的是:除了最新一代的互联网浏览器外,几乎没有客户端支持 SNI。除非您可以向客户明确说明他们必须使用最新的 Web 浏览器,并且这些客户端确实会遵守,否则在未来 2-4 年内,这都不是一个选项。
什么适合你?你现在可能会对各种 IP 上的几个通配符证书感到厌烦。目前确实没有更好的选择。结果,一些证书供应商提供了一些非常便宜的通配符证书;我使用http://startssl.com因为它们非常便宜而且实用。