我们有一个产品(托pipe的PHP应用程序),我们将提供SSL证书给人们以及一些托pipe。
我们完全控制了设置用户虚拟主机configuration,文档根等等的主机环境。
我们正在考虑多域名证书,这将允许我们将许多域绑定到一个证书,这将最终为用户节省相当多的钱。
根据我的理解,当从证书中添加/删除一个域时,旧域名需要被撤销,新域名被创build – 这是否正确?
其他地方的任何地方都有一些类似的API?
这里的这个地方似乎提到他们的共享主机,并与单ips处理。 任何人有任何经验?
http://www.comodo.com/business-security/digital-certificates/multi-domain-ssl.php
我不build议使用多域证书(更不用说从Comodo基于其代理商最近的安全历史logging购买它们),因为每当您签署一个新的托pipe客户时,您需要进行撤销和重新发布。 如果您有50个客户并签署了新的客户,那么您不会仅仅因为添加了新的客户而影响这50个客户,您的系统pipe理人员也不希望在您每次注册(或丢失)时修改50个以上的站点configuration) 一个客户。
我认为通过构build您的网站可以更好地服务客户名称,因为客户名称位于您的域名的主机部分。 例如,customer1.yourdomainname.com,customer2.yourdomainname.com等
您可能需要考虑一个CA的托pipepki解决scheme,因为您对证书pipe理和维护拥有更多的控制权。
如果你不想投资于托pipepki路线,也许通配证书会更好地服务。 证书维护仍然从客户configuration过程中被移除(当然,除非您的通配证书的私钥被破坏)。
话虽如此,我不确定是否有任何CA拥有API,但是OpenSSL,NSS,GNU-TLS和JSSE 都是 API,因此您的证书configuration过程的很大一部分仍然可以通过脚本和/或自动化
你只需要吊销证书,如果你认为它的妥协。 如果您只想添加或删除名称,则可以在不撤销旧的证书的情况下发行新的证书。 新的证书可以取代旧的和Web服务器configuration重新加载,不需要大量的重新configuration工作或停机时间。
如果要签发这个新证书要收费的话,那么对于个人CA来说,这是一个商业决定因素。 有些人可能会把它当作“补发”,免费,其他人则可能不会。
除了成本之外,在同一个证书上拥有多个域的好处是,您可以在不依赖SNI的情况下从相同的IP地址提供服务。
由于这个问题发布了“让encryption”出现在现场。 他们似乎是一个非常适合这个应用程序。 他们允许在同一个证书上的多个域名。 不要收取任何费用,并从一开始就devise自动化。