我有一个域名(我的网) 包含 5 个子域名 (www.my.com,app1.my.com,app2.my.com,app3.my.com,app4.my.com)。
这 4 个应用程序托管在 Windows/Apache 2.4 服务器上,使用虚拟主机的单个 IP,而www.my.com托管在具有单独 IP 的第二台服务器上,将来可能会转移到托管服务。
我必须使用 Geotrust 的 SSL 证书来保护上述所有子域名的安全。
我需要的是:
选择适合上述配置的证书类型(2 个服务器中的 5 个子域)
尽量减少所需的证书数量(出于成本和维护原因)
保持普遍可接受的安全程度
那么,我应该订购多少张证书以及哪种类型的证书?
答案1
单个证书可以使用以下方式覆盖多个主机名:主题备用名称 (SAN)扩展名。这通常用于涵盖www.example.com
和example.com
,但可用于涵盖更多主机名。
在你的情况下,你需要 6 个名称(假设你也想使用my.com
)。SSL 提供商通常将这类证书称为SAN 证书。
一些证书颁发机构允许您为多台服务器生成证书,但是没有什么可以阻止您在两台服务器上使用完全相同的证书。
您可能需要查看让我们加密,这是一家颁发免费证书的证书颁发机构。
答案2
当您仍然购买证书(并决定不使用 Let's Encrypt)时,一般来说您有三个选择:
- 获得每个 URL 都有唯一的证书你用。
- 得到每个服务器都有唯一的证书你使用的
- 优点:证书较少
- 只需在单个服务器上使用单个 URL,即可获得廉价的单个 URL 证书
- 如果单个证书上有多个 URL,您将需要一个(通常更昂贵的)SAN 证书
- 您可以支持不支持 SNI 的旧客户端
- 康恩:在 SAN 证书上添加/删除站点需要重新颁发
得到单一证书并在所有服务器上使用同一个证书。
- SAN 证书要求您明确命名要使用的每个 URL,但在单个证书中支持不同的域(webmail.example.com www.example.com example.co.uk my.example.ca 等)。
- 通配符证书通常对 example.com 和每个子域 *.example.com 有效,但通常对其他域名无效(也不适用于通配符以下的多层级子域,即 some.subdomain.example.com 不受 *.example.com 覆盖)。
优点:通配符很简单,您可以随意在每个服务器中添加、移动和删除子域。
康恩:在您的某台服务器上添加或删除站点时,每台服务器上都需要替换单个 SAN 证书。
对您来说最有意义的取决于您当前的需求、预期的变化和证书的当前价格以及实施、监控和管理证书的成本劳动力。