Çok sunuculu dağıtım için joker karakter sertifikaları kullanma


11

Şu anda hizmetlerimiz için bir beta API dağıtıyoruz ve API'dan gelen tüm isteklerin / yanıtların https üzerinden çalışmasını istiyoruz. Her ikisi için joker sertifikalarını kullanma hakkında karıştı apive wwwURL'ler. O ikisi için de bir genel sertifika kullanmak iyi bir fikir mi api.example.comve www.example.com? Herhangi bir rahatsızlık var mı?

Yalnızca 1 sunuculu sertifikalara ne dersiniz? Çünkü API'm ön tarafta bir yük dengeleyicili n sunucuya dağıtıyorum .


Sertifikalar etki alanı adlarına bağlıdır (veya bir joker karakter, * .domain durumunda) - bir sertifikayı onlarca sunucuya sorunsuzca dağıtabilirsiniz. Bunu şimdi bir yük dengeleyici ile yapıyoruz, sadece yenileme zamanı geldiğinde her sunucudaki her sertifikayı güncellemeyi hatırlamanız gerekiyor.
Mark Henderson

Yanıtlar:


4

Doğru, joker karakterli bir sertifika kullanmak bu durumda harika bir fikirdir. Ayrı alan adları için yapılandırmanızı basit tutar ve eklemeye karar verdiğiniz alt alan adlarının çalışmasını sağlar.

Birkaç dezavantajı var:
- Üst düzey alan adınız güvenli değil. Olduğu gibi, sertifika için iyi değil example.com.
- Çok pahalılar, normalde yaklaşık 1 bin dolar.

Yalnızca 1 sunuculu sertifikalara gelince, sertifikayı satın aldığınızda yaptığınız sözleşmeye bağlıdır. Bazıları, sertifikanın birden çok sunucuya yüklenmesine izin verirken, bazıları bunu yapmayacaktır. Ayrıca, sertifikanın sadece tek bir sunucuda yüklü olup olmadığını nasıl kontrol edip etmediklerini bilmiyorum. Bundan kurtulabilirsin ...

Ayrıca, bir yük dengeleyici kullanıyorsanız, donanımınız izin veriyorsa, sertifikayı oraya yüklemenizi tavsiye ederim. Cisco CSS serisinin, tüm şifreleme ve şifre çözme işlemlerini gerçekleştirerek sunucularınız için biraz iş tasarrufu sağlayan özel bir donanım modülüne sahip olduğunu biliyorum.


3
Digicert joker SSL fiyatı bu fiyatın 1 / 3'ü ile 1 / 3'ü arasındadır ve esnektir (çoklu sunucu yüklemeleri). Onları birkaç yıldır kullanıyoruz ve bu bizim için iyi sonuç verdi.
JasonBirch

Godaddy.com yılda 200 dolar joker kartı satıyor. Onları şu an 3 yıldır kullanıyorum ve kabul eden tarayıcılarla ilgili bir sorun yaşamadım.
dragonmantank

Digicert sertifikaları, diğer çoğu sağlayıcının sizin için ek bir sertifika satın alması gereken temel etki alanını da (alt alan yok) güvence altına alır
Gareth

2

Şimdiye kadar joker karakter certs ile gördüğüm tek sorun onların EV destekleyen herhangi bir görünmüyor olmasıdır. Bu sadece serin tarayıcı krom "hey, bu site resmi olarak Tamam ve vertified" demek istiyorsanız gerçekten endişe verici. Yalnızca güvenli ulaşım arıyorsanız ve müşterinin satın alma güveni ile ilgilenmiyorsanız, ucuz yolu tercih edin. Veya www sunucusu için EV ve API için joker karakter satın alın.


Bununla iyiyim, bankamın EV'ye sahip olmasını bekliyorum, ama ben değil
licorna
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.