Ssl

我必須為每台伺服器提供證書嗎?

  • November 15, 2017

我正在 Azure 中建構服務。現在我有 2 台伺服器

  • DC-1
  • 工人 1

Worker-1 執行 http、ftp 和幾個全天候執行的 .exe 服務。DC 和 Worker 都是我設置的 .com 域的一部分。

我需要在 Worker-1 上保護一些 HTTPS 服務,所以我有一個“域驗證”SSL 證書。我現在需要保護正在執行的 FTP 服務……

  1. 我可以使用相同的證書還是必須為 ftp.foo.com (ftp) 獲得另一個“域驗證”?

  2. 獲得萬用字元 SSL 證書解決了上述問題,我可以在哪裡保護(以及更多) ftps://asd1.foo.com 和https://foo.com

請看 1),因為兩個簡單的證書比萬用字元便宜,所以目前它可能是最經濟的解決方案。

  1. 如果我將 FTPS 服務移到另一台伺服器上怎麼辦?如果我創建 Worker-2 並在其上設置 FTPS 服務。我還可以使用相同的證書嗎?我猜我至少需要一個萬用字元,因為我仍然在 Worker-1 上執行 https。

或者在這種情況下我是否需要“組織驗證”證書?我知道有三種類型,DV、OV 和 EV 證書。我可以在 3) 中簡單地將證書添加到 Active Directory 中,然後一切都會神奇地執行嗎?:) 一廂情願,我不確定證書如何在域中的跨伺服器上工作。

從技術上講,DV、OV 和 EV 之間沒有太大區別。它們都只是分配給某個主題名稱或一組名稱的 SSL 證書。

只要證書涵蓋您正在使用的主題名稱,在多台伺服器上使用一個證書就沒有錯。如果您現有的證書未列出 ftp.domain.com,則您不能將其用於該主機名。

如果您已經擁有 domain.com 的證書,最簡單的選擇是為 ftp.domain.com 獲取另一個證書。

您還可以獲得涵蓋多個名稱的“SAN”證書。該證書有一個替代名稱列表,ftp.domain.com、mail.domain.com 等。我使用的提供商出售最多涵蓋 5 個名稱的證書,而不是一個。(名稱 SAN 來自證書中包含這些名稱的欄位 - “主題備用名稱”。您可以在證書的屬性中查看這些)

萬用字元證書也應該起作用——儘管確保它實際上涵蓋“domain.com”而不僅僅是“something.domain.com”。這可能比 SAN 證書更昂貴,但您可以在未來自由設置 someservice.domain.com 並使用現有證書。

引用自:https://serverfault.com/questions/883501