域和子域的不同 SSL 證書頒發機構?
我們的主站點 www.example.com 有一個正常的 VeriSign SSL 證書。但是,我們的開發環境需要 ssl 才能進行準確的測試。是否可以為我們的 dev.example.com 和 stage.example.com 域使用來自不同(更便宜)提供商的另一個 ssl?我們有一個具有不同 IP 的負載均衡器,因此擁有唯一 IP 應該不是問題。
是的
這當然是可能的。我曾與一些公司合作,他們為生產站點購買昂貴的證書(例如擴展驗證證書),以及有時來自不同證書頒發機構的更便宜的證書(域驗證證書),用於開發和測試目的。
話雖如此,您可能希望以不同的方式處理此問題,尤其是在考慮“準確測試”動機時
首先,SSL 證書主要提供 3 件事:
- 加密
- 正直
- 真實性
無論您選擇哪種 CA,都提供第一個功能,即加密。由 DigiSign 簽名的 2048 位 CSR 提供與由 VeriSign 簽名的 2048 位 CSR 一樣強的加密。
第二個特徵,完整性,在於連接的本質,即:客戶端和可信伺服器之間的加密消息交換。因此,如果沒有對加密和真實性的信心,就無法實現消息交換的完整性。此外計算消息摘要以確保消息在加密之前和解密之後是相同的
第三個特性,真實性,由頒發您的 SSL 證書(例如 VeriSign)的 CA 和使用者(客戶端)之間的信任關係決定。這很重要,因為客戶端軟體可能信任一個 CA,但不信任另一個 CA。一個範例可能是:在移動設備上測試安全的 Web 應用程序。移動設備信任頒發您的“測試”證書的 CA,但是一旦您投入生產,一切都會中斷,因為頒發您的生產證書的 CA不受移動設備的信任。
一種可能的解決方案(也是我經常推薦的解決方案)是使用萬用字元證書,一種與萬用字元子域組件匹配的證書,例如:
*.example.com
. 這樣,您可以使用相同的證書保護www.example.com
、analytics.example.com
等。dev.analytics.com
萬用字元證書非常昂貴,但如果您有幾個或更多站點,可能值得您花時間