it-swarm.cn

使用通配符证书进行多服务器部署

目前,我们正在为我们的服务部署测试版API,我们希望API的所有请求/响应均可通过https进行。我很困惑为apiwww urls使用通配符证书。为api.example.comwww.example.com使用通配符证书是个好主意吗?有什么不便吗?

那些仅1服务器的证书怎么样?因为我在n服务器中部署我的API,前面有负载均衡器。

11
licorna

你是对的,在这种情况下使用通配符证书是个好主意。它会使您对单独域的配置变得简单,并确保您决定添加的任何子域都能正常工作。

有一些缺点:
- 您的顶级域名不安全。如同,证书不适合example.com
- 它们非常昂贵,通常大约1美元左右。

对于仅1服务器的证书,它取决于您在购买证书时所达成的协议。有些将允许证书安装在多个服务器上,有些则不允许。此外,我不知道他们是如何或是否检查证书是否仅安装在单个服务器上。你也许可以逃脱它......

此外,如果您使用的是负载均衡器,我建议您在那里安装证书,如果您的硬件允许的话。我知道Cisco CSS系列有一个专用的硬件模块,可以处理所有的加密和解密,为您的服务器节省了一些工作。

4
Chris Henry

到目前为止,我在通配符证书中看到的唯一问题是它们似乎没有任何支持EV。如果你想要酷炫的浏览器chrome说“嘿,这个网站是正常的,可以放弃”,这只是一个问题。如果您只是寻找安全的交通工具而不关心客户的购买信心,那么就选择便宜的方式。或者为www服务器购买EV,为API购买通配符。

2
JasonBirch