การใช้ใบรับรองไวด์การ์ดสำหรับการปรับใช้หลายเซิร์ฟเวอร์

11

ขณะนี้เรากำลังปรับใช้ API เบต้าสำหรับบริการของเราและเราต้องการให้คำขอ / ตอบกลับทั้งหมดจาก API ทำงานผ่าน https ฉันสับสนเกี่ยวกับการใช้ใบรับรองตัวแทนสำหรับทั้งapiและwwwURL เป็นความคิดที่ดีหรือไม่ที่จะใช้ใบรับรองตัวแทนสำหรับทั้งสองapi.example.comและwww.example.com? มีความไม่สะดวกบ้างไหม?

ใบรับรองแบบเซิร์ฟเวอร์เดียวเท่านั้นเหล่านั้นคืออะไร เพราะฉันปรับใช้ API ของฉันในเซิร์ฟเวอร์nโดยมี load balancer อยู่ด้านหน้า

https security-certificate

— licorna
แหล่งที่มา

ใบรับรองจะเชื่อมโยงกับชื่อโดเมนของพวกเขา (หรือในกรณีของ wildcard, * .domain) - คุณสามารถปรับใช้ใบรับรองหนึ่งฉบับกับเซิร์ฟเวอร์นับสิบโดยไม่มีปัญหา เราทำสิ่งนี้ด้วย load balancer คุณเพียงแค่ต้องจำไว้ว่าต้องอัปเดตทุกใบรับรองในทุก ๆ เซิร์ฟเวอร์เมื่อถึงเวลาต่ออายุ

— Mark Henderson

4

คุณถูกต้องการใช้ไวด์การ์ดรับรองเป็นความคิดที่ดีในกรณีนี้ มันจะทำให้การกำหนดค่าของคุณสำหรับโดเมนแยกง่ายและให้แน่ใจว่าโดเมนย่อยใด ๆ ที่คุณตัดสินใจที่จะเพิ่มจะทำงาน

มีข้อบกพร่องสองสามประการ:
- โดเมนระดับบนสุดของคุณไม่ปลอดภัย example.comในฐานะที่เป็นใบรับรองที่ไม่ดีสำหรับ
- พวกเขามีราคาแพงมากโดยปกติประมาณ $ 1k

สำหรับใบรับรอง 1 เซิร์ฟเวอร์เท่านั้นขึ้นอยู่กับข้อตกลงที่คุณทำเมื่อคุณซื้อใบรับรอง บางแห่งจะอนุญาตให้ติดตั้งใบรับรองบนเซิร์ฟเวอร์หลายเครื่อง แต่บางแห่งจะไม่ติดตั้ง นอกจากนี้ฉันไม่รู้ว่าพวกเขาตรวจสอบหรือไม่ว่าใบรับรองนั้นติดตั้งบนเซิร์ฟเวอร์เดียวเท่านั้น คุณอาจหนีไปได้ ...

นอกจากนี้หากคุณกำลังใช้ตัวโหลดบาลานซ์ฉันขอแนะนำให้ติดตั้งใบรับรองที่นั่นหากฮาร์ดแวร์ของคุณอนุญาต ฉันรู้ว่าชุด Cisco CSS มีโมดูลฮาร์ดแวร์เฉพาะที่จัดการการเข้ารหัสและถอดรหัสทั้งหมดซึ่งช่วยประหยัดงานบางอย่างสำหรับเซิร์ฟเวอร์ของคุณ

— คริสเฮนรี่
แหล่งที่มา

3

Digicert wildcard SSL คือราคา 1/2 ถึง 1/3 และมีความยืดหยุ่น (ติดตั้งเซิร์ฟเวอร์หลายตัว) เราใช้มันมาหลายปีแล้วและมันก็ใช้งานได้ดีสำหรับเรา

— JasonBirch

Godaddy.com ขายไวลด์การ์ดได้ประมาณ $ 200 / ปี ฉันใช้มันมานานกว่า 3 ปีแล้วและยังไม่มีปัญหากับเบราว์เซอร์ใด ๆ ที่ยอมรับมัน

— dragonmantank

ใบรับรอง Digicert จะรักษาความปลอดภัยโดเมนพื้นฐาน (เช่นไม่มีโดเมนย่อย) ซึ่งผู้ให้บริการรายอื่นส่วนใหญ่ต้องการให้คุณซื้อใบรับรองเพิ่มเติมสำหรับ

— Gareth

2

ปัญหาเดียวที่ฉันเห็นด้วย wildcard certs จนถึงตอนนี้ก็คือพวกมันดูเหมือนจะไม่รองรับ EV เลย นี่เป็นเรื่องที่น่ากังวลอย่างมากหากคุณต้องการให้เบราว์เซอร์ที่ใช้เทคโนโลยีโครเมี่ยมบอกว่า "เฮ้ไซต์นี้ตกลงและวางตำแหน่งอย่างเป็นทางการ" หากคุณกำลังมองหาการขนส่งที่ปลอดภัยและไม่สนใจความมั่นใจในการซื้อของลูกค้าลองใช้วิธีที่ประหยัด หรือซื้อ EV สำหรับเซิร์ฟเวอร์ www และสัญลักษณ์แทนสำหรับ API

— JasonBirch
แหล่งที่มา

ฉันโอเคกับสิ่งนั้นฉันคาดว่าธนาคารของฉันจะมี EV แต่ไม่ใช่ฉัน

— licorna