2014-09-19 207 views
1

我正在尋找公司* .domain.com的通配符證書。 我不需要擴展驗證。 入門級的問題:SSL通配符證書

  • 我應該買2級或3級證書?主要區別是什麼?

  • 我可以在不同的機器(不同的IP)中安裝(使用)相同的證書/密鑰對嗎?有些CA要求提供專用IP,但我想將SNI用於多個虛擬主機。

  • 一般來說,依靠SNI支持是一個好主意嗎?

回答

0

我應該購買2級還是3級證書?主要區別是什麼?

不同之處在於中間CA的數量,這應該不重要。不同的CA可能在證書之間存在其他差異,例如生命期等,但這取決於CA.

我可以在不同的機器(不同的IP)上安裝(使用)相同的證書/密鑰對嗎?有些CA要求專用IP,但我想使用SNI作爲多個虛擬主機。

只要在不同的IP,不同的端口,多臺機器上使用相同的證書,沒有限制。所有情況下的主機名都與證書相匹配。當然,每臺機器都需要訪問私鑰,因此可以使用更多的機器來增加攻擊面。

一般來說,依靠SNI支持是一個好主意嗎?

這取決於您需要支持哪種系統。如果你期望只有更新的瀏覽器作爲客戶SNI是好的。但是,IE8(Windows XP),一些Android應用程序(由於舊版本的Apache HTTP庫),舊版本的Java和較舊版本的腳本語言(如Python,Perl等)不支持SNI,它們經常用於自動化任務。

如果您不僅希望將證書用於Web而且還用於郵件,情況可能會更糟。