Использование подстановочных сертификатов для развертывания на нескольких серверах

11

В настоящее время мы развертываем бета-версию API для наших сервисов и хотим, чтобы все запросы / ответы от API работали через https. Я запутался в использовании подстановочных сертификатов для обоих apiи wwwURL-адресов. Это хорошая идея использовать подстановочный сертификат для обоих api.example.comи www.example.com? Есть ли неудобства?

Как насчет этих сертификатов только для одного сервера? Потому что я развернул свой API на n серверах с балансировщиком нагрузки на передней панели.

https security-certificate licorna
источник
Сертификаты привязаны к своим доменным именам (или, в случае с подстановочным знаком, * .domain) - вы можете без проблем развернуть один сертификат на десятках серверов. Теперь мы делаем это с помощью балансировщика нагрузки, вам просто нужно помнить, чтобы обновлять каждый сертификат на каждом сервере, когда наступает время обновления.
Марк Хендерсон

Ответы:

4

Вы правы, использование сертификата с подстановочными знаками - отличная идея в этом случае. Это сделает вашу конфигурацию для отдельных доменов простой и обеспечит работоспособность любых поддоменов, которые вы решите добавить.

Есть пара недостатков:
- Ваш домен верхнего уровня не защищен. Как и в, сертификат не подходит для example.com.
- Они очень дорогие, обычно около 1 тыс. Долларов.

Что касается сертификатов с одним сервером, это зависит от соглашения, которое вы заключаете при покупке сертификата. Некоторые позволят установить сертификат на нескольких серверах, некоторые - нет. Кроме того, я понятия не имею, как или если они проверяют, что сертификат установлен только на одном сервере. Вы могли бы сойти с рук с этим ...

Кроме того, если вы используете балансировщик нагрузки, я бы порекомендовал установить там сертификат, если это позволяет ваше оборудование. Я знаю, что серия Cisco CSS имеет специальный аппаратный модуль, который обрабатывает все шифрование и дешифрование, сохраняя некоторую работу для ваших серверов.

Крис Генри
источник
3
Digicert wildcard SSL стоит от 1/2 до 1/3 этой цены и является гибкой (установка на несколько серверов). Мы использовали их пару лет, и это хорошо сработало для нас.
JasonBirch
Godaddy.com продает сертификаты с подстановочными знаками примерно за 200 долларов в год. Я использую их уже 3 года, и у меня не было проблем с их принятием браузерами.
dragonmantank
Сертификаты Digicert также будут защищать базовый домен (т.е. без поддоменов), для которого большинство других провайдеров требуют, чтобы вы купили дополнительный сертификат
Гарет,
2

Единственная проблема, которую я до сих пор видел с подстановочными сертификатами, заключается в том, что у них, похоже, нет таких, которые поддерживают EV. Это действительно вызывает беспокойство, только если вы хотите, чтобы в браузере был крутой браузер с надписью «эй, этот сайт официально исправен и проверен». Если вы ищете только безопасный транспорт и не заботитесь о покупательской уверенности, выбирайте дешевый способ. Или купите EV для сервера www и подстановочный знак для API.

JasonBirch
источник
Я в порядке с этим, я ожидаю, что у моего банка будет EV, но не я
Licorna