假设我有一个来自供应商A(例如Symantec)的现有通配证书(* .example.com),授权2个服务器。
现在我想从供应商B(例如RapidSSL)购买相同的主题(* .example.com),以便安装在多个其他位置。
表面上看,这应该起作用,但是有没有什么理由我不能这样做 – 是出于许可还是技术上的原因?
动机是双重的 – 现有通配证书安装到的环境是敏感的,不能迅速改变。 其次,供应商A对“每服务器”许可收费的定价对于我们正在考虑涉及许多服务器的部署而言太高。
表面上看,这应该起作用,但是有没有什么理由我不能这样做 – 是出于许可还是技术上的原因?
不,没有许可或技术原因,你不应该这样做。 从长远来看,这似乎是笨拙和无效的,但我认为这是一个短期的事情,所以去做吧。
客户不关心哪个CA生成了一个证书,只要它在他们的信任存储中。 需要注意的是,如果您已经做了任何事情来locking客户端上的预期证书,如https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning中所述 。
这是不可能的。 仅仅因为你的服务器将不允许在单个域名上安装多个SSL证书。 SSL证书只能在FQDN(经常合格的域名)上发布。
让我们了解HTTPS的实际工作原理。
第1步:客户端连接到服务器
步骤2:SSL / TLS协商(包括交换证书,证书validation和encryption设置)
步骤3:客户端发送请求(包括服务器主机名,path,cookies等)
步骤4:服务器发回响应(包括响应标题,内容等)
引用: https : //security.stackexchange.com/questions/46988/is-it-technically-possible-to-configure-two-different-ssl-certificates-for-the-s
那么一个一个的步骤将有助于服务器validation信息。 另外,PKI(公钥基础设施)使得更加难以validation域名所有权的身份。 互联网上敏感信息的交换完全取决于公钥基础设施。 典型的PKI由硬件,软件,策略和标准组成,用于pipe理密钥和数字证书的创build,pipe理,分配和撤销。 数字证书是PKI的核心,因为它们确认了证书主体的身份,并将该身份与证书中包含的公钥绑定在一起。 阅读更多 。
而且,您可以轻松解决您对多服务器许可证的收费问题。 许多证书颁发机构(即Thawte,Comodo)在其数字证书上提供无限的服务器许可证。 所以如果你的证书即将在不久的将来到期,我会build议打开其他SSL证书,提供无限的服务器许可。