Domain-Name-System

對於 DNS 和 SSL,我是否需要為每個 (DNS RR) A 記錄提供單獨的證書?

  • January 2, 2022

因此,我們公司希望將我們的雲伺服器分離到單獨的環境中,例如 www.example.com、test.example.com 和 dev.example.com。

$$ We may even want to break our subdomains into further sub-domains. $$我的老闆想知道公司需要多少證書(用於 SSL)。 我已經深入研究了子域,看起來像是 DNS RR(域名伺服器資源記錄)的問題。我看過關於 A 記錄和 CNAME 記錄以及它們如何相互作用的註釋。我認為 A 和 CNAME 記錄的混合應該足以分離出我們的命名空間。

但是,證書是什麼,我們是否需要為每個 A 記錄提供 SSL 證書?我的老闆熱衷於降低成本(就像所有老闆一樣)。

對於您的一個伺服器將採用的每個身份(即,伺服器將自己標識為的每個名稱),您都需要一個與該身份匹配的證書。身份不一定等於 DNS 條目,但如果確實如此(例如 Web 伺服器),則無論條目是 CNAME 還是 A(甚至 AAAA)記錄,都沒有區別。

為了讓事情更容易理解,您不一定需要為每個身份使用不同的證書。一個證書可以證明多個身份(一個主要身份和多個備用身份),還有所謂的萬用字元證書可用於給定域的任何子域(例如,如果您有 *.example.com 的萬用字元證書,您可以將其用於www.example.com和anyyouwant.example.com,而不必在證書中明確列出這兩個名稱中的任何一個)。但是,萬用字元證書比普通證書更昂貴。雖然正常證書通常花費幾十美元,但萬用字元證書通常要花費數百美元。請注意,有些證書頒發機構會給您免費的正常證書,但有一定的限制(例如,StartCom 的基本StartSSL證書是免費的,但只能包含兩個名稱,其中一個必須是根域)。

在您的範例中,您有 3 個身份(它們是www.example.comtest.example.comdev.example.com)。對於您,目前,我建議您獲得 3 個免費證書。如果您需要 20-30 個不同的證書,您應該考慮購買萬用字元證書,因為每年必須手動更新 20-30 個過期證書的成本(工作時間)會高於此萬用字元證書。

引用自:https://serverfault.com/questions/710027