Certificate
我可以在多個站點上使用受信任的 CA 證書嗎?
在多個站點上執行 CA 證書是否存在任何技術/法律/契約限制?
單機?
多台機器?
還是要在每個站點上使用證書?
您可以在多台機器上擁有一個證書。但是,除非所有機器的“站點名稱”都相同(例如,一組 Web 伺服器都為一個網站服務),否則您的使用者將收到不匹配錯誤,因為證書與他們請求的伺服器名稱不匹配。
您可以在具有多個站點(例如虛擬主機)的單台機器上擁有證書,但您將遇到與上述相同的問題。
如果您從單個伺服器為多個“站點”提供服務,並希望使用者 Web 瀏覽器等滿意,您將需要分配給主機的多個證書**和多個 IP 地址。**這是因為它是經過認證和加密的連接,這發生在客戶端告訴您它感興趣的站點之前。這是目前 SSL 協議的局限性。最新協議中解決了此限制,但並非所有內容都支持該限制。
2017 年 2 月更新:
自從提出這個問題以來,技術已經取得了相當大的進步,我回答了這個問題。SSL 協議已通過添加SNI得到改進,允許瀏覽器在證書交換之前連接並請求域。因此,您現在可以從具有單個 IP 地址的單個伺服器使用 SSL 提供多個網站。SNI 幾乎得到所有瀏覽器的普遍支持,因此您可以確信您的網站可供使用者訪問。您還可以使用萬用字元將多個站點名稱組合到一個證書中,例如“*.stackexchange.com”並使用“證書主題替代名稱”,如果您在此站點上簽出 ssl 證書,stackexchange 正在執行此操作。
更好的消息是,現在我們有了letsencrypt,如果您只需要加密支持並且不需要擴展驗證,我們都可以免費獲得我們的證書。並且讓 encrypt 確實支持 alt 名稱。
