我们在 Windows 2008 r2 服务器上托管了多个业务站点。我们确实拥有一个静态 IP。我们希望所有站点都使用 SSL 工作。但是,为每个站点单独购买证书似乎不太可能。我们考虑为拥有的静态 IP 购买证书,并将该证书应用于所有站点。
这可能吗?如果可以,这种方法是否存在安全风险?
答案1
是的,您可以获得由受信任的 CA 颁发的有效 SSL 证书,其中证书中的通用名称是 IP 地址。
但这不会使证书对解析到该 IP 地址的任何 DNS 名称有效。地址栏中的主机名 (www.example.com) 和 SSL 证书中的主机名 (您的 IP) 仍然会不匹配,导致大多数浏览器出现警告。
如果您受到限制,只能安装单个证书,则可以购买对多个域名有效的证书(例如 www.example.com 和 www.example.org),这些证书受大多数活跃浏览器支持。该功能的技术名称是主题备用名称,但大多数情况下您会看到它们被列为 SAN 或 UC 统一通信证书。
答案2
是的,可以通过单个 IP 地址保护所有域名的安全。
有很多可用的选项。
- 如果你想保护你的网站和多个子域名,那么你应该购买通配符 SSL 证书。
使用通配符 SSL 证书,您可以在任何服务器上保护您的网站和无限子域(相同主机名)。
如果你有多个域名,并且想要在任何服务器上使用单个证书保护它们,那么你应该购买多域 (SAN) SSL 证书。
如果你想要保护多个域名及其无限的子域名,那么你应该购买多域名通配符 SSL 证书。