假设我有一个来自供应商 A(例如 Symantec)的现有通配符证书 (*.example.com),已授权给 2 台服务器。
现在我想从供应商 B(例如 RapidSSL)购买相同主题 (*.example.com) 以便在其他多个位置安装。
从表面上看,这应该可行,但有什么原因我不能这样做吗——由于许可或技术原因?
动机有两个方面:安装现有通配符证书的环境很敏感,无法快速更改。其次,供应商 A 的“按服务器”许可收费的定价对于我们正在考虑的涉及许多服务器的部署来说太高了。
答案1
从表面上看,这应该可行,但有什么原因我不能这样做吗——由于许可或技术原因?
不,没有任何许可证或技术原因阻止你这样做。从长远来看,这似乎很笨拙且效率低下,但我怀疑这只是一个短期问题,所以就去做吧。
答案2
客户端不关心哪个 CA 生成了证书,只要证书在它们的信任库中即可。需要注意的是,如果您已采取任何措施将预期证书固定在客户端上,如https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning。
答案3
这根本不可能。因为你的服务器不允许在单个域名上安装多个 SSL 证书。SSL 证书只能在 FQDN(常用限定域名)上颁发。
让我们了解 HTTPS 实际上是怎样工作的。
步骤 1:客户端连接服务器
第 2 步:SSL/TLS 协商(包括交换证书、证书验证和加密设置)
步骤 3:客户端发送请求(包括服务器主机名、路径、cookie 等)
步骤4:服务器发回响应(包括响应头,内容等)
因此,一步一步地,这些步骤将帮助服务器验证信息。此外,PKI(公钥基础设施)使得验证域所有权的身份变得更加困难。互联网上的敏感信息交换完全依赖于公钥基础设施。典型的 PKI 包括硬件、软件、策略和标准,用于管理密钥和数字证书的创建、管理、分发和撤销。数字证书是 PKI 的核心,因为它们确认证书主体的身份并将该身份绑定到证书中包含的公钥。阅读更多。
此外,您对多服务器许可证收费的担忧也可以轻松解决。许多证书颁发机构(例如 Thawte、Comodo)在其数字证书上提供无限的服务器许可证。因此,如果您的证书即将到期,我建议您切换到提供无限服务器许可的其他 SSL 证书。