我通过一个负载平衡器(和 2 个子应用程序服务器)运行三个站点,
其中一个站点有 SSL 证书,但我想为其他两个站点添加证书
我在这里的最佳路线是什么?
我发现那里有各种各样的证书,有点困惑
我见过一些通配符(例如,为一个域名保护无限的子域名),还有一些是多域名(例如,一个证书下最多 100 个域名)
是否有证书可以处理这两种情况?
或者我可以使用多域名证书来处理子域名,就像它是通配符一样(每个站点只有 3 或 4 个我需要保护的子域名)
希望得到一些指导
任何与此有关的文章的链接也将不胜感激
答案1
我建议每个站点一个证书(这样您可以轻松添加第四个站点,或删除其中一个现有站点,而无需触及其他站点的证书)。
是否需要每个站点的通配符,或者列出所有可能子域的多域取决于您的设置。
如果所有内容都在一个位置(EC2),那么通配符可能是更便宜、更简单的方法,而且不会放弃安全性。
如果您在不同位置(EC2 和自己的数据中心)托管内容(针对同一域),我建议为每个位置使用多域证书。这样,如果其中一个位置受到攻击,他们就无法冒充另一个位置(使用通配符证书或列出该域的所有服务的多域证书可以实现这一点)。
答案2
这是一个有趣的解决方案:
elb-create-lb superawesome --headers --listener "lb-port=443,instance-port=8443,protocol=TCP" --listener "lb-port=80,instance-port=80,protocol=http" --availability-zones us-east-1c
elb-create-lb unicorns --headers --listener "lb-port=443,instance-port=8445,protocol=TCP" --listener "lb-port=80,instance-port=80,protocol=http" --availability-zones us-east-1c
就我个人而言,我刚刚用 Nginx 创建了一个小型实例。流量还没有问题。配置灵活。成本在预算之内。
如果您有子域名,请使用通配符包。