假设一台机器有多个管理 UI,例如 Cockpit 和 Monit。两者都可以使用 SSL。
最佳实践是否要求对两种服务使用不同的证书?或者是否可以重复使用单个证书,因为两种服务都由同一个团队维护,并在同一台机器上运行。
我假设由两个不同的团队维护的两个启用 SSL 的服务不会重复使用 SSL 证书?
答案1
你可以选择任何一种方式,这取决于你的具体需求。甚至经常看到不同的证书用于同一端口上的同一服务。
用户代理不关心证书是否相同,只关心它是否有效且由受信任的 CA 正确签名。
对于共享 DNS 主机名的所有服务,使用相同证书通常会大大简化管理。但是如果您有特定需求(您没有提到),那么使用不同的证书完全没问题。
答案2
虽然使用相同的证书可能很方便且实用,但请记住,如果各种服务的证书配置文件要求不同,则可能需要考虑颁发多个证书。
例如,如果所有服务都是 HTTPS 服务器,则配置文件应该相同。另一方面,如果一项服务需要客户端身份验证证书,那么可能值得考虑针对此用例使用另一个证书。
此外,如果您对每项服务使用不同的 SNI 名称,您可能会发现每次添加新服务时都需要更新/修改单个证书以添加新名称。