多域 SSL 證書
我們有一個產品(託管的 PHP 應用程序),我們將為人們提供 SSL 證書以及一些託管服務。
我們完全控制設置使用者虛擬主機配置、文件根目錄等的託管環境。
我們正在研究多域證書,這將允許我們將許多域捆綁到一個證書中,這最終將為使用者節省不少錢。
據我了解,在從證書中添加/刪除域時,需要撤銷舊域並創建新域 - 是否正確?
其他任何地方都有某種 API 嗎?
這裡的這個地方似乎提到他們的對於共享託管以及處理單個 ips 都有好處。有人有經驗嗎?
http://www.comodo.com/business-security/digital-certificates/multi-domain-ssl.php
我不建議使用多域證書(更不用說根據其經銷商最近的安全歷史從 Comodo 購買它們),因為每當您簽署新的託管客戶時都需要進行撤銷和重新頒發。如果您有 50 個客戶並簽了一個新客戶,那麼您不會僅僅因為添加一個新客戶而影響這 50 個客戶,您的系統管理人員也不想在您每次註冊(或失去)時修改 50 多個站點配置) 一個客戶。
我認為通過建構您的網站以便客戶名稱位於您域的主機部分中,您會得到更好的服務。例如,customer1.yourdomainname.com、customer2.yourdomainname.com 等。
您可能需要考慮來自其中一個 CA 的託管 pki 解決方案,因為您可以更好地控制證書管理和維護。
如果您不想投資託管 pki 路由,也許萬用字元證書會更好。證書維護仍然從客戶配置過程中刪除(當然,除非您的萬用字元證書的私鑰被洩露)。
話雖如此,我不確定是否有任何 CA 具有 API,但 OpenSSL、NSS、GNU-TLS 和 JSSE是API,因此您的證書配置過程的很大一部分仍然可以腳本化和/或自動化