对于 SNI Apache 设置:
可以这样做吗:
对所有具有 URL 别名的虚拟主机使用一个安全证书
和
以下两者之间有区别吗:
对所有具有 URL 别名的虚拟主机使用一个安全证书
,并
为每个虚拟主机使用一个安全证书
答案1
从技术上讲,您可以拥有具有完全不同 SAN 的证书,但出于显而易见的身份验证原因,我不确定 CA 将如何允许您对其进行签名。因此,每个虚拟主机拥有一个证书更简单(除了您需要监控更多内容以进行续订,并且成本可能更高,除非您拥有当今的解决方案(例如 Let's Encrypt),它使您能够摆脱以下问题:
- 如果您将所有名称都放在同一份证书中,则一旦添加虚拟主机,您就需要重新生成证书以包含所有新名称集,并且出于安全原因,某些浏览器/扩展程序会抱怨证书以奇怪的方式/时间更改
- 你也可以在某种程度上打败拥有单独虚拟主机的想法,因为你为一个网站的每个访问者提供了同一服务器上所有其他网站的列表(你也可以通过其他方式找到它们)