或者通过 2 种方式访问 ssl 网站:1)使用 Web 浏览器 2)使用我们的客户端应用程序
我们希望将客户端应用程序与我们自己的 CA 证书(不受浏览器信任)捆绑在一起,以便 100% 确保没有人可以访问加密数据。(即使是操作受信任的中级 CA 的人)。我们希望我们的应用程序只信任由我们的 CA 签名的证书。
当然,我们希望这个网站能够在浏览器中打开时没有任何警告。
那么,有没有办法在单个主机、端口和域上放置 2 个证书,一个受我们的应用程序信任,另一个受浏览器信任?
更新:
我们可以使用不同的主机来访问应用程序,但我们的管理层不想冒着针对半受过教育的 IT 社区的不良 PR 攻击的风险(想象一下一份出版物,当有人指着我们的服务器说“哈哈,他们使用免费的自签名证书,他们太不安全了。”)
答案1
您不能为单个主机放置 2 个证书。但您可以轻松地将两个 vhost 指向同一个 Web 应用程序。
- 浏览器为 www.example.com
- app.example.com 为应用程序
他们每个人都有自己的证书。
主要问题是没有什么可以阻止浏览器用户使用 app.example.com 反之亦然。
另一个不太优雅的选择是使用不同的端口但使用相同的域。
- 浏览器为 www.example.com(:80)
- 应用程序为 www.example.com:8080
您只能通过域名:端口对获得一个证书。