通配符证书使用
我一直在做SSL证书,现在我的组织正在考虑使用通配符证书,还是现在使用的多域证书。 我需要知道的是为什么我们不应该去通配符证书路线? 我知道他们是如何工作的,但我需要把这个卖给他们。 我知道优点和缺点。
我一直在研究为什么不使用,唯一不利的地方就是每个站点或者人们说的唯一缺点:“如果.key被攻破,那么WCS就是”。 我需要一个更好的理由为什么不使用它,那么,因为多领域是相同的方式明智的。 我们已经可以采取措施使这个更安全。
我们所看到的是从1 UC统一域与数百个SAN,并通配符分解。 这也将通过NetScaler SDX 11500运行。我不是一个大的NetScaler人,但我明白这一点。 如果我们启用了SNI,我们可以加载不同的证书和密钥?
你也知道更多的步骤,使其更安全。 谢谢
- 部分连字符通配符子域的dnslogging
- 重写通配符子域和通配符域
- SSL,IIS:一个用于多个子域名的网站,一个用于顶级域名的网站(带或不带www)。
- 1个域,2个服务器和2个应用程序
- 使通配证书对全球所有站点有效?
这不是一个/或者除非你把它作为一个/或者,或者你的证书经销商对它不加理睬。
与SNI的一个是旧设备不支持SNI。 在他们不支持SNI的情况下,他们将转到设备上的默认绑定。
更具体地说,通配符证书保护单个子域的级别,例如:
*.example.com 将覆盖
foo.example.com bar.example.com autodiscover.example.com
它不会覆盖
foo.bar.example.com autodiscover.example.net
因此,如果您需要覆盖的每个域名在给定域名下都是单个域名,那么通配符当然是一个简单而便宜的(ish)方式。
使用SAN的证书可以让您覆盖尽可能多的不同域名。 它甚至可以在SAN中包含通配符,所以你可以有:
*.example.com *.example.net *.example.org
所有在一个证书。 只要看看这个网站的证书:
您可能希望保持较小的证书链,以便您可以在一个数据包中交换整个证书和链。 根据证书链的长度,这可能会限制在跨越边界之前可以放入单个证书的SAN的数量。
正如您已经正确指出的那样,通配符或与SAN相同的安全问题也适用。 这实际上只是归结于你所需要的,而且你更容易维护。
如果你可以支持数十个单独的证书,并且很乐意使用SNI(和潜在的陷阱),那就这样做。 如果你不想SNI或不想pipe理几十个证书,可以去通配符和/或SAN,然后采取妥协。
没有对错的答案,只有对你有用的东西。
在我们的环境中,通配符证书的主要问题是在三级域名上使用它的问题,根本不可能,例如* .domain.tld可以,* .second.domain.tld不可以。
通配符证书唯一的问题是Microsoft Lync Server 2013不支持某些服务的通配符证书,因为客户端使用的证书validation不适用于通配符。 我不确定最新版本的Lync 2016(Skype for business)是否仍然有这个限制,或者确实为什么限制已经到位 – 大概是一些安全措施
- 在Amazon Route 53中为通配符子域创build301redirect
- Postfix不会将邮件发送到在virtual_alias_domains中列出的外部电子邮件地址
- HAProxy负载平衡通配符
- 后缀 – 从通配符中排除收件人
- DigitalOcean DNS可以将新的cnamelogging与现有的通配符cnamelogging冲突
- 试图使我的mac(或整个本地networking)上的任何* .dev域指向一个IP
- exim:redirect除了一些本地部分以外的所有东西
- 不同的ssl cerfiticate子域
- Exchange 2010的通配符SSL证书?
- ssl产品和推荐的ssl之间的区别