每个服务器都必须有一个证书吗?

每个服务器都必须有一个证书吗?

我正在 Azure 中构建一项服务。目前我有 2 台服务器

  • DC-1
  • 工人-1

Worker-1 全天候运行 http、ftp 和几个 .exe 服务。DC 和 Worker 都是我设置的 .com 域的一部分。

我需要保护 Worker-1 上的某些 HTTPS 服务,因此我获得了“域验证” SSL 证书。我现在需要保护正在运行的 FTP 服务...

1) 我可以使用相同的证书吗?还是必须为 ftp.foo.com (ftp) 获取另一个“域验证”?

2)获取通配符 SSL 证书解决了上述问题,我可以同时保护 ftps://asd1.foo.com 和https://foo.com

请看 1),因为两个简单证书比通配符便宜,所以现在它可能是最好的经济解决方案。

3) 如果我将 FTPS 服务移至另一台服务器会怎样?如果我创建 Worker-2 并在其上设置 FTPS 服务。我还可以使用相同的证书吗?我猜至少这里需要一个通配符,因为我仍然在 Worker-1 上运行 https。

或者在这种情况下我需要“组织验证”证书吗?我知道有三种类型,DV、OV 和 EV 证书。我是否可以在 3) 中简单地将证书添加到 Active Directory,然后一切都会神奇地运行?:) 一厢情愿,我不确定证书如何在域中的跨服务器中工作。

答案1

从技术上讲,DV、OV 和 EV 之间没有太大区别。它们都只是分配给特定主题名称(或名称组)的 SSL 证书。

在多台服务器上使用一个证书并没有什么问题,只要该证书涵盖您所使用的主题名称即可。如果您现有的证书未列出 ftp.domain.com,则您无法将其用于该主机名。

如果您已拥有 domain.com 的证书,最简单的选择就是为 ftp.domain.com 获取另一个证书。

您还可以获得涵盖多个名称的“SAN”证书。该证书有一个备用名称列表,ftp.domain.com、mail.domain.com 等。我使用的提供商出售的证书最多可涵盖 5 个名称,但价格不会比单个名称高太多。(SAN 这个名称来自证书中包含这些名称的字段 - “主题备用名称”。您可以在证书的属性中查看这些名称)

通配符证书也应该有效 - 但请确保它实际上涵盖“domain.com”,而不仅仅是“something.domain.com”。这可能比 SAN 证书更昂贵,但可以让您自由地在将来设置 someservice.domain.com 并使用现有证书。

相关内容