Какие поставщики сертификатов SSL с подстановочными знаками позволяют устанавливать один и тот же сертификат на нескольких серверах? [закрыто]
Мы планируем создать службу, в которой несколько устройств в разных центрах обработки данных будут разрешать доступ по протоколу HTTPS. Мы планируем приобрести сертификат SSL с подстановочными знаками для обработки любого количества поддоменов.
В первую очередь мы рассматриваем SSL-сертификат goDaddy с подстановочными знаками. Кто-нибудь настраивал что-нибудь подобное? Мы изучили предложения Digicert, но хотим найти более дешевые варианты.
Мы используем подстановочные сертификаты GoDaddy для большинства наших сайтов. Все наши сайты размещаются несколькими серверами. После установки сертификата на сервере, который создает CSR, экспортируют сертификат в файл PFX и импортируют его к другому серверу. Клиенты не будут знать различия.
GoDaddy знает, что мы делаем это, и они никогда не опрашивали нас об этом.
-
1I' m не уверенный, что you' ре, подразумевающее здесь; certs+key не связаны с сервером (в отличие от этого, скажем, ssh' s known_hosts+server ключи), но к доменному имени и возможно IP. Само собой разумеется, если упомянутое доменное имя подается 100 серверами, каждый из них получает копию закрытого ключа. – niXar 7 August 2009 в 04:30
http://www.digicert.com имеет очень гибкое лицензирование включая неограниченные установки в Вашем домене для UC и Подстановочных знаков. Мы используем их UC на Exchange и смещаемся из Verisign и Thawte в Digicert для других систем также из-за обоих оценка и лицензируем гибкость. Они также предоставляют 30-дневную пробную версию, в которой они выпускают сертификат, который имеет 30-дневный срок действия для тестирования с Вашими системами. До сих пор они были великими для нас.
-
1+1 для Digicert! They' ve великое нам также; очень профессиональная, превосходная техническая поддержка, разумная оценка и гибкое лицензирование. Сертификаты UCC, полезны при многих обстоятельствах, не только Exchange 2007, и может быть более экономически эффективным, чем подстановочные сертификаты в большинстве экземпляров. Даже их стандартные сертификаты используют поле Subject Alternate Name для защиты и www.example.com и example.com с единственным сертификатом (и лицензионный сбор). – jnaab 11 September 2009 в 09:16
Можно создать собственный подстановочный сертификат также. Вы не получаете "торговую марку" и страховку, которая соглашается с нею, но ее столь же безопасный. Если бы соединения SSL не используются широкой публикой, и только для Вашего собственного использования, я рекомендовал бы этому сэкономить деньги.
Вот черновой набросок процесса (использующий Keystore), что необходимо взломать для собственного использования. Необходимо было бы изучить, как сделать это сами использование следующего как "подсказка":
:: create authority
openssl req -config %OPENSSL_HOME%\openssl.cfg -new -x509 -extensions v3_ca -keyout %OPENSSL_HOME%\..\demoCA\private\cakey.pem -out %OPENSSL_HOME%\..\demoCA\cacert.pem -days 1096
:: create wildcard cert in keystore, cn name *.site.com
keytool -genkey -alias wildcard -keyalg RSA -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb
:: generate CSR
keytool -certreq -alias wildcard -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -file %OPENSSL_HOME%\..\myCerts\wildcard.csr
:: import CA from previous step into keystore
keytool -import -alias root -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -trustcacerts -file %OPENSSL_HOME%\..\demoCA\cacert.pem
:: sign CSR with CA and convert to DER format
openssl ca -config %OPENSSL_HOME%\openssl.cfg -policy policy_anything -out %OPENSSL_HOME%\..\myCerts\wildcard.crt -infiles %OPENSSL_HOME%\..\myCerts\wildcard.csr
openssl x509 -in %OPENSSL_HOME%\..\myCerts\wildcard.crt -inform PEM -out %OPENSSL_HOME%\..\myCerts\wildcard.der -outform DER
:: import chain of wildcard cert
keytool -import -alias wildcard -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -trustcacerts -file %OPENSSL_HOME%\..\myCerts\wildcard.der
Сертификаты SSL выпущены основанные на их домене, а не какой сервер размещает их. Все, что имеет значение с точки зрения клиента, - то, что домен, используемый для доступа к сертификату, соответствует домену на самом сертификате.
Для Ваших потребностей я ожидаю, что любой Wildcard-сертификат должен работать. Мне было бы интересно видеть, может ли кто-либо представить свидетельства об обратном?
-
1Не у всех поставщиков SSL есть те же политики, например, " Comodo Premium Wildcard" сертификаты имеют дополнительный сбор на сервер, на котором Вы хотите установить сертификат. – Ambirex 6 August 2009 в 20:46
-
2Вы корректны; нет никаких технических ограничений, предотвращающих установку / использование подстановочного сертификата на нескольких хостах. Это , однако, нарушение контракта с поставщиком SSL почти во всех случаях. Я знаю I' ve встретился с парой, которые действительно явно позволяют устанавливать сертификат на нескольких хостах, но к сожалению мне can' t помнят которые... – Insyte 6 August 2009 в 22:17
-
3
-
4Просто развитие, мы связались с goDaddy, и они сказали, что поддерживают подстановочные знаки на нескольких серверах. Таким образом, это - направление, мы пошли. Спасибо всем. – Ambirex 21 August 2009 в 02:17
-
5Это - денежная вещь, Veri$ign получает большую прибыль, продающую тот же крошечный файл Вам многократно. – Walter 22 September 2009 в 09:59
Возможно, немного слишком поздно, но "сертификатам SSL GlobalSign предоставляют лицензирование для неограниченного количества серверов, включенных в стандартную цену".