对于 DNS 和 SSL,我是否需要为每个 (DNS RR) A 记录提供单独的证书?

对于 DNS 和 SSL,我是否需要为每个 (DNS RR) A 记录提供单独的证书?

因此,我们公司希望将云服务器分离到不同的环境中,例如 www.example.com、test.example.com 和 dev.example.com。[我们甚至可能希望将子域名进一步细分为子域名。] 我的老板想知道公司需要多少个证书(用于 SSL)。

我深入研究了子域名,发现这看起来像是 DNS RR(域名服务器资源记录)的问题。我看过关于 A 记录和 CNAME 记录以及它们如何相互作用的说明。我认为 A 记录和 CNAME 记录的混合应该足以分离出我们的命名空间。

但是证书怎么办呢?我们是否需要为每个 A 记录都准备一个 SSL 证书?我的老板热衷于降低成本(所有老板都是这样)。

答案1

对于您的服务器将采用的每个身份(即服务器将标识自己的每个名称),您都需要拥有与该身份相匹配的证书。身份不一定等于 DNS 条目,但在身份等于 DNS 条目的情况下(例如 Web 服务器),条目是 CNAME 还是 A(甚至是 AAAA)记录都没有区别。

为了让事情变得更复杂一点,您不一定需要为每个身份使用不同的证书。一个证书可以认证多个身份(一个主要身份和几个备用身份),还有所谓的通配符证书,可用于给定域的任何子域(例如,如果您有 *.example.com 的通配符证书,则可以将其用于www.example.com和 anyyouwant.example.com,而无需在证书中明确列出这两个名称中的任何一个)。但是,通配符证书比常规证书更昂贵。虽然常规证书通常花费几十美元,但通配符证书通常要花费数百美元。请注意,有些证书颁发机构会为您提供有一定限制的免费常规证书(例如,StartCom 的基本启动SSL证书是免费的,但只能包含两个名称,其中一个必须是根域)。

在您的示例中,您有 3 个身份(分别是www.example.comtest.example.comdev.example.com)。目前,我建议您获取 3 个免费证书。如​​果您需要 20-30 个不同的证书,则应考虑购买通配符证书,因为每年手动续订 20-30 个即将过期的证书的成本(工作时间)将高于通配符证书的成本。

相关内容