我只用签名证书做基本的东西(基本上按照CA的说明)。
我有一些一般的问题,希望有人能回答。 有很多种不同的证书可供select,价格更高。 我正在寻找一种经济的方法将SSL带到一台物理服务器上托pipe的许多服务中。
服务器有一个域名: servername.mydomain.com
服务器也响应别名: www.mydomain.com mail.mydomain.com , mydomain.com
服务器也响应虚拟域: www.virtual1.com , mail.virtual1.com , www.virtual2.com
从我所了解的基本SSL,像RapidSSL这样的人将只覆盖主servername.mydomain.com 。 那么,如果有人点击虚拟域,会发生什么? 或别名? 我们是否也需要为这些域获取证书?
覆盖以上所有情况的经济方法是什么?
那么只要覆盖主域中的所有别名呢?
你要找的是SAN(又名UCC),Wilcard Certs或SNI。
- SAN =主题备用名称。 证书颁发给主题,这是最常见的通用名称(CN),如“www.example.com”。 证书可以有替代名称。
- 问题是你必须命名每个人。 如“a1.example.com”,“a2.example.com”,“b1.example.com”。
- 好处是大多数提供商提供这种解决scheme相当便宜,几乎所有的SSL启用软件都支持它们。
- 通配证书是他们在一定程度上听起来像。 您可以获得“* .example.com”的通配符证书,它将覆盖“anything.example.com”到“zebra.example.com”。
- 好处是您可以使用一个证书来为单个域的无限子域。
- 有两个主要的缺点。 一,你只有一个通配符,所以它只能是一个域。 二,通配符只适用于它出现的级别。所以,如果你得到了上述的通配符证书,它将不适用于“level.two.example.com”
- SNI =服务器名称指示器。 这是一种新的技术,使Web服务器可以在同一个地址和端口上使用多个证书。 通常情况下,您只能在IP:端口tupple上使用1个证书。 如果要使用多个证书,则必须使用多个IP或多个端口(端口往往不能很好地工作,因为您需要在URL中明确指定端口,并且没有普通用户知道input端口号或甚至如何)。
- 好处:您可以使用已经在同一台服务器上提到的任何证书组合。 这使得在问题中提到的所有东西都相当容易。
- 糟糕的是:相当less的服务器软件支持它,大多数主要的Web服务器都支持它的最新版本,但不是所有的,在Web服务器之外,这是非常罕见的。
- 更糟糕的是:除了最新一代的互联网浏览器,几乎没有客户支持SNI。 除非你可以指定你的客户,他们必须有一个最新的网页浏览器,这些客户将真正遵守,这不是另一个2 – 4年的select。
什么适合你? 你现在可能会在各种IP地址上遇到一对通配符证书。 真的没有太多更好的select呢。 结果,一些证书供应商提供了一些相当便宜的通配证书; 我使用http://startssl.com,因为它们便宜而且工作。