Używanie certyfikatów wieloznacznych do wdrażania na wielu serwerach

11

Obecnie wdrażamy wersję beta API dla naszych usług i chcemy, aby wszystkie żądania / odpowiedzi z interfejsu API działały przez https. Jestem mylić o używaniu zastępczych świadectw dla obu apii wwwadresów URL. Czy warto używać certyfikatu z symbolami wieloznacznymi zarówno dla, jak api.example.comi dla www.example.com? Czy są jakieś niedogodności?

Co z tymi certyfikatami tylko na jednym serwerze? Ponieważ jestem wdrażania moje API w n serwerów z równoważenia obciążenia na przód.

licorna
źródło
Certyfikaty są powiązane z ich nazwami domen (lub w przypadku symbolu wieloznacznego * .domain) - możesz wdrożyć jeden certyfikat na dziesiątkach serwerów bez problemu. Robimy to teraz za pomocą modułu równoważenia obciążenia, musisz tylko pamiętać o aktualizacji każdego certyfikatu na każdym serwerze, gdy nadejdzie czas odnowienia.
Mark Henderson

Odpowiedzi:

4

Masz rację, użycie certyfikatu z symbolem wieloznacznym to w tym przypadku świetny pomysł. Ułatwi to konfigurację oddzielnych domen i zapewni działanie wszystkich subdomen, które zdecydujesz się dodać.

Istnieje kilka wad:
- Domena najwyższego poziomu nie jest bezpieczna. Jak na razie, certyfikat nie nadaje się do example.com.
- Są bardzo drogie, zwykle około 1 000 $.

Jeśli chodzi o certyfikaty tylko dla jednego serwera, zależy to od umowy zawartej przy zakupie certyfikatu. Niektóre pozwolą na zainstalowanie certyfikatu na wielu serwerach, inne nie. Nie mam też pojęcia, jak i czy sprawdzają, czy certyfikat jest zainstalowany tylko na jednym serwerze. Być może uda ci się uciec ...

Ponadto, jeśli używasz modułu równoważenia obciążenia, polecam zainstalowanie certyfikatu tam, jeśli twój sprzęt na to pozwala. Wiem, że seria Cisco CSS ma dedykowany moduł sprzętowy, który obsługuje wszystkie szyfrowania i deszyfrowania, oszczędzając trochę pracy na twoich serwerach.

Chris Henry
źródło
3
Dziesięciokartowa karta Digicert SSL kosztuje od 1/2 do 1/3 tej ceny i jest elastyczna (instaluje się wiele serwerów). Używamy ich od kilku lat i dobrze nam to wyszło.
JasonBirch
Godaddy.com sprzedaje certyfikaty typu wildcard za około 200 USD rocznie. Używam ich od 3 lat i nie miałem problemu z akceptacją ich przez przeglądarki.
dragonmantank
Certyfikaty Digicert zabezpieczą także domenę podstawową (tj. Bez poddomeny), dla której większość innych dostawców wymaga zakupu dodatkowego certyfikatu
Gareth
2

Jedynym problemem, jaki do tej pory widziałem w przypadku certyfikatów z symbolami zastępczymi, jest to, że nie wydają się one obsługiwać EV. Jest to naprawdę problem, jeśli chcesz, aby fajna przeglądarka Chrome powiedziała „hej, ta strona jest oficjalnie OK i pionowo”. Jeśli szukasz tylko bezpiecznego transportu i nie zależy Ci na zaufaniu klientów do zakupów, wybierz tanią drogę. Lub kup EV dla serwera www i symbol wieloznaczny dla API.

JasonBirch
źródło
Nie mam nic
przeciwko