我有许多网站分散在不同的IIS服务器,但他们都可以通过sitename.example.co.uk访问。 即site1.example.co.uk
顺便说一句,这只是一个例子,所以我可以抓住SSL证书,因此他们都通过以下过程自签名
http://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/
步骤3的结果证书被分配给* .example.co.uk。 可以在多个服务器上使用,还是为每个服务器创build了新的证书+密钥,尽pipe它们与证书上的域相匹配?
证书是第三方签名的公钥,任何人都可以使用相应的私钥。 所以只要你给每个服务器配对的私钥,它就可以使用证书。
但是如果你正在制作自己的CA,为什么要麻烦呢? 您可以为每个服务器创build证书,并且它们不会比您提议在任何地方使用的一个私有CA签名的证书可信任(不再是可信任的),并且保留单个私有通过分发和使用许多terminal来保证密钥的安全。
没有技术上的原因,为什么你不能在任意数量的服务器上使用* .example.co.uk的通配符SSL证书,只要你的域名匹配通配符。 但是一些证书颁发者有商业条款和条件限制了可以使用证书的服务器的数量。 这不是技术上的限制,证书仍然可以在任意数量的服务器上运行。 如果您使用的服务器数量超过您的同意数量,您将只会违反与您的合同。 当然这并不适用于您用来testing的自签名证书,但当您实际获得由受信任的CA签名的证书时也可能会这样做。
没有任何技术上禁止你在多台机器上安装给定的证书。 但是,如果您从商业CA购买证书,那么即使安装了相同的证书,许可协议也许需要您为每台服务器付费。
我相信一些安全/企业标准会阻碍高级别通配符证书(所以没有* .example.co.uk,但可能是* .somespecificapp.example.co.uk),以便在证书泄露时将损害降至最低。
在所有机器上安装相同证书+密钥的一个可能的动机是使用证书固定( https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning/Certificate_and_Public_Key_Pinning )