在单台机器上,服务之间重复使用 SSL 证书,还是生成多个证书?

在单台机器上,服务之间重复使用 SSL 证书,还是生成多个证书?

假设一台机器有多个管理 UI,例如 Cockpit 和 Monit。两者都可以使用 SSL。

最佳实践是否要求对两种服务使用不同的证书?或者是否可以重复使用单个证书,因为两种服务都由同一个团队维护,并在同一台机器上运行。

我假设由两个不同的团队维护的两个启用 SSL 的服务不会重复使用 SSL 证书?

答案1

你可以选择任何一种方式,这取决于你的具体需求。甚至经常看到不同的证书用于同一端口上的同一服务

用户代理不关心证书是否相同,只关心它是否有效且由受信任的 CA 正确签名。

对于共享 DNS 主机名的所有服务,使用相同证书通常会大大简化管理。但是如果您有特定需求(您没有提到),那么使用不同的证书完全没问题。

答案2

虽然使用相同的证书可能很方便且实用,但请记住,如果各种服务的证书配置文件要求不同,则可能需要考虑颁发多个证书。

例如,如果所有服务都是 HTTPS 服务器,则配置文件应该相同。另一方面,如果一项服务需要客户端身份验证证书,那么可能值得考虑针对此用例使用另一个证书。

此外,如果您对每项服务使用不同的 SNI 名称,您可能会发现每次添加新服务时都需要更新/修改单个证书以添加新名称。

相关内容