同一个域名的 2 个 IP 和 5 个子域名需要什么样的 SSL 证书?

同一个域名的 2 个 IP 和 5 个子域名需要什么样的 SSL 证书?

我有一个域名(我的网) 包含 5 个子域名 (www.my.com,app1.my.com,app2.my.com,app3.my.com,app4.my.com)。

这 4 个应用程序托管在 Windows/Apache 2.4 服务器上,使用虚拟主机的单个 IP,而www.my.com托管在具有单独 IP 的第二台服务器上,将来可能会转移到托管服务。

我必须使用 Geotrust 的 SSL 证书来保护上述所有子域名的安全。

我需要的是:

  1. 选择适合上述配置的证书类型(2 个服务器中的 5 个子域)

  2. 尽量减少所需的证书数量(出于成本和维护原因)

  3. 保持普遍可接受的安全程度

那么,我应该订购多少张证书以及哪种类型的证书?

答案1

单个证书可以使用以下方式覆盖多个主机名:主题备用名称 (SAN)扩展名。这通常用于涵盖www.example.comexample.com,但可用于涵盖更多主机名。

在你的情况下,你需要 6 个名称(假设你也想使用my.com)。SSL 提供商通常将这类证书称为SAN 证书

一些证书颁发机构允许您为多台服务器生成证书,但是没有什么可以阻止您在两台服务器上使用完全相同的证书。

您可能需要查看让我们加密,这是一家颁发免费证书的证书颁发机构。

答案2

当您仍然购买证书(并决定不使用 Let's Encrypt)时,一般来说您有三个选择:

  1. 获得每个 URL 都有唯一的证书你用。
    • 优点:单个 URL 证书比 SAN 证书便宜(尽管SAN 证书拥有 20 个主机名可能比拥有 20 个单独的证书更便宜)
    • 可以轻松添加 URL、将其移动到不同的服务器或将其删除
    • 缺点:续约管理工作较多,但相对简单。
    • 当多个 URL 托管在具有单个 IP 地址的服务器上时,所有客户端都需要支持信噪比
  2. 得到每个服务器都有唯一的证书你使用的
    • 优点:证书较少
    • 只需在单个服务器上使用单个 URL,即可获得廉价的单个 URL 证书
    • 如果单个证书上有多个 URL,您将需要一个(通常更昂贵的)SAN 证书
    • 您可以支持不支持 SNI 的旧客户端
    • 康恩:在 SAN 证书上添加/删除站点需要重新颁发
  3. 得到单一证书并在所有服务器上使用同一个证书

    • SAN 证书要求您明确命名要使用的每个 URL,但在单个证书中支持不同的域(webmail.example.com www.example.com example.co.uk my.example.ca 等)。
    • 通配符证书通常对 example.com 和每个子域 *.example.com 有效,但通常对其他域名无效(也不适用于通配符以下的多层级子域,即 some.subdomain.example.com 不受 *.example.com 覆盖)。
    • 优点:通配符很简单,您可以随意在每个服务器中添加、移动和删除子域。

    • 康恩:在您的某台服务器上添加或删除站点时,每台服务器上都需要替换单个 SAN 证书。

对您来说最有意义的取决于您当前的需求、预期的变化和证书的当前价格以及实施、监控和管理证书的成本劳动力。

相关内容