我试图find一个大规模的解决scheme来设置多个域及其子域,并带有SSL证书。 这是几十个负载平衡服务器上的数千个网站的顺序。 (我们是一个.NET商店,如果这是有帮助的)
理想情况下 ,我们可以实现一些东西,而不必单独为每个域购买证书(不能很好地扩展),但是如果这只是一个必要的步骤,我想我可以find一个创造性的解决scheme。
UCC似乎并不理想,因为这些域名之间存在关联,而且缺乏能够升级的function,因此无法实时添加其他域名。 这些是针对不同的个人客户,所以分离的程度是一个不幸的必要性,灵活性是至关重要的,因为网站的数量不是固定的。
有没有人find这样的解决scheme? 我甚至会采取一些创造性的想法,只是让球滚动。
(网站的长时间使用者,但是第一次问一个问题,所以如果我可以改善这个任何细节请当然让我知道。)
这里有多种select,重要的是您的服务器和客户端基础设施是否支持SNI。
如果您有SNI支持,那么我的build议是为您需要的每个站点/域/子域生成一个单独的可信证书。 不要担心,随着我们encryptionEFF的出现 ,获得尽可能多的可信证书是您微不足道的。
如果您没有SNI支持(由于旧客户端,或者不支持这种情况的IIS版本),那么SAN证书可能是要走的路。 再次,您可以从Let's Encrypt中获得这些信息。 只需要为您所需的所有SAN生成一个单一的证书。 但每次更改需要覆盖的域列表时,都必须重新生成证书(并且根据部署的方式,可能需要再次将其部署到每个适用的主机)。 但是,您已经指出这对您并不理想,因为您希望在这些领域之间保持分离。
除了具有个人证书的SNI和SAN证书之外,第三种常见方式是在您的所有站点之前放置Cloudflare,然后让他们为您执行SSL证书 。 关于这一点的好处是您的SSL终止延迟也会降低,因为客户端与Cloudflare进行SSL协商,可能会比您自己的POP更接近POP。