Мы планируем создать службу, в которой несколько устройств в разных центрах обработки данных будут разрешать доступ по протоколу HTTPS. Мы планируем приобрести сертификат SSL с подстановочными знаками для обработки любого количества поддоменов.
В первую очередь мы рассматриваем SSL-сертификат goDaddy с подстановочными знаками. Кто-нибудь настраивал что-нибудь подобное? Мы изучили предложения Digicert, но хотим найти более дешевые варианты.
Мы используем подстановочные сертификаты GoDaddy для большинства наших сайтов. Все наши сайты размещаются несколькими серверами. После установки сертификата на сервере, который создает CSR, экспортируют сертификат в файл PFX и импортируют его к другому серверу. Клиенты не будут знать различия.
GoDaddy знает, что мы делаем это, и они никогда не опрашивали нас об этом.
http://www.digicert.com имеет очень гибкое лицензирование включая неограниченные установки в Вашем домене для UC и Подстановочных знаков. Мы используем их UC на Exchange и смещаемся из Verisign и Thawte в Digicert для других систем также из-за обоих оценка и лицензируем гибкость. Они также предоставляют 30-дневную пробную версию, в которой они выпускают сертификат, который имеет 30-дневный срок действия для тестирования с Вашими системами. До сих пор они были великими для нас.
Можно создать собственный подстановочный сертификат также. Вы не получаете "торговую марку" и страховку, которая соглашается с нею, но ее столь же безопасный. Если бы соединения SSL не используются широкой публикой, и только для Вашего собственного использования, я рекомендовал бы этому сэкономить деньги.
Вот черновой набросок процесса (использующий Keystore), что необходимо взломать для собственного использования. Необходимо было бы изучить, как сделать это сами использование следующего как "подсказка":
:: create authority
openssl req -config %OPENSSL_HOME%\openssl.cfg -new -x509 -extensions v3_ca -keyout %OPENSSL_HOME%\..\demoCA\private\cakey.pem -out %OPENSSL_HOME%\..\demoCA\cacert.pem -days 1096
:: create wildcard cert in keystore, cn name *.site.com
keytool -genkey -alias wildcard -keyalg RSA -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb
:: generate CSR
keytool -certreq -alias wildcard -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -file %OPENSSL_HOME%\..\myCerts\wildcard.csr
:: import CA from previous step into keystore
keytool -import -alias root -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -trustcacerts -file %OPENSSL_HOME%\..\demoCA\cacert.pem
:: sign CSR with CA and convert to DER format
openssl ca -config %OPENSSL_HOME%\openssl.cfg -policy policy_anything -out %OPENSSL_HOME%\..\myCerts\wildcard.crt -infiles %OPENSSL_HOME%\..\myCerts\wildcard.csr
openssl x509 -in %OPENSSL_HOME%\..\myCerts\wildcard.crt -inform PEM -out %OPENSSL_HOME%\..\myCerts\wildcard.der -outform DER
:: import chain of wildcard cert
keytool -import -alias wildcard -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -trustcacerts -file %OPENSSL_HOME%\..\myCerts\wildcard.der
Сертификаты SSL выпущены основанные на их домене, а не какой сервер размещает их. Все, что имеет значение с точки зрения клиента, - то, что домен, используемый для доступа к сертификату, соответствует домену на самом сертификате.
Для Ваших потребностей я ожидаю, что любой Wildcard-сертификат должен работать. Мне было бы интересно видеть, может ли кто-либо представить свидетельства об обратном?
Возможно, немного слишком поздно, но "сертификатам SSL GlobalSign предоставляют лицензирование для неограниченного количества серверов, включенных в стандартную цену".