Gibt es technische / rechtliche / vertragliche Einschränkungen bei der Verwendung eines CA-Zertifikats an mehreren Standorten, die auf einem ausgeführt werden?
Einzelmaschine?
mehrere Maschinen?
Oder sollen die Zertifikate pro Standort verwendet werden?
Sie können ein Zertifikat auf mehreren Computern haben. Sofern der "Site-Name" nicht für alle Computer gleich ist (z. B. ein Cluster von Webservern, die alle für eine Website dienen), wird bei Ihren Benutzern ein Nichtübereinstimmungsfehler angezeigt, da das Zertifikat nicht mit dem von ihnen angeforderten Servernamen übereinstimmt.
Sie können ein Zertifikat auf einem einzelnen Computer mit mehreren Standorten haben (z. B. virtuelles Hosting) , haben jedoch das gleiche Problem wie oben.
Wenn Sie mehrere "Sites" von einem einzigen Server aus bedienen und möchten, dass Benutzer Webbrowser und dergleichen zufrieden sind, benötigen Sie mehrere Zertifikate und mehrere IP-Adressen, die dem Host zugewiesen sind. Dies liegt daran, dass die Verbindung zertifiziert und verschlüsselt ist und dies geschieht, bevor der Client Ihnen mitteilt, an welcher Site er interessiert ist. Dies ist die Einschränkung des aktuellen SSL-Protokolls. Diese Einschränkung wird im neuesten Protokoll behandelt, aber noch nicht alles unterstützt dies.
Update Februar 2017:
Die Technologie hat sich ein gutes Stück weiterentwickelt, seit diese Frage gestellt wurde, und ich habe sie beantwortet. Das SSL-Protokoll wurde durch Hinzufügen von SNI verbessert, sodass der Browser vor dem Zertifikatsaustausch eine Verbindung herstellen und die Domäne anfordern kann . Sie können jetzt mehr als eine Website mit SSL von einem einzelnen Server mit einer einzelnen IP-Adresse aus bereitstellen. SNI wird fast überall von allen Browsern unterstützt, sodass Sie ziemlich sicher sein können, dass Ihre Websites für Benutzer zugänglich sind. Sie können auch mehrere Site-Namen in einem einzigen Zertifikat kombinieren, entweder mit Platzhaltern, z. B. "* .stackexchange.com", und mit "Alt-Namen für Zertifikatssubjekte". Dies ist die Aufgabe von stackexchange, wenn Sie das SSL-Zertifikat auf dieser Site auschecken.
Die noch bessere Nachricht ist, dass wir jetzt letsencrypt haben und alle unsere Zertifikate kostenlos erhalten, wenn Sie nur Verschlüsselungsunterstützung wünschen und die erweiterte Validierung nicht benötigen. Und lassen Sie verschlüsseln unterstützt die Alt-Namen.
Ich habe hier auf Verisign eine Antwort gefunden , die besagt, dass ein einzelnes Zertifikat nicht auf mehreren Servern ohne eine spezielle Lizenz verwendet werden kann, die meine mehrfachen Fragen beantwortet.
Ich gehe davon aus, dass dies bedeutet, dass es kein Problem gibt, es auf mehreren Standorten zu verwenden, solange sich alle auf einem einzigen Computer befinden.
Dies kann auch spezifisch für die Zertifizierungsstelle sein.
quelle
Sie können ein Unified Communications-Zertifikat verwenden. Sie können dem Zertifikat mehrere alternative Betreffnamen hinzufügen. Sie können dieses Zertifikat auf mehreren Servern für mehrere Domänennamen installieren. Sie könnten ein Zertifikat haben für:
server1.blah.com
server2.blah.com
www.blah.com
www.notblah.com
Sie wurden ursprünglich für die Verwendung mit Exchange 2007 und Communication Server eingeführt, können jedoch für andere Server verwendet werden. Weitere Informationen von einem SSL-Zertifizierungsanbieter:
Digicert uc ssl cert Seite
Vertrauen Sie uc ssl cert Seite
Es gibt auch Wildcard-Zertifikate, aber ich weiß weniger darüber, sie können auch für Ihre Zwecke funktionieren.
quelle