Verwenden von Platzhalterzertifikaten für die Bereitstellung auf mehreren Servern

11

Derzeit stellen wir eine Beta-API für unsere Dienste bereit und möchten, dass alle Anfragen / Antworten von der API über https funktionieren. Ich bin verwirrt über die Verwendung von Platzhalterzertifikaten für beide apiund wwwURLs. Ist es eine gute Idee, ein Platzhalterzertifikat für beide api.example.comund zu verwenden www.example.com? Gibt es irgendwelche Unannehmlichkeiten?

Was ist mit diesen 1-Server-Zertifikaten? Weil ich meine API auf n Servern mit einem Lastenausgleich an der Vorderseite bereitstelle.

licorna
quelle
Zertifikate sind an ihre Domänennamen gebunden (oder im Fall eines Platzhalters * .domain) - Sie können das eine Zertifikat ohne Probleme auf Dutzenden von Servern bereitstellen. Wir tun dies jetzt mit einem Load Balancer. Sie müssen nur daran denken, jedes Zertifikat auf jedem Server zu aktualisieren, wenn die Erneuerungszeit kommt.
Mark Henderson

Antworten:

4

Sie haben Recht, in diesem Fall ist die Verwendung eines Platzhalterzertifikats eine gute Idee. Dadurch wird Ihre Konfiguration für separate Domänen einfach gehalten und sichergestellt, dass alle Subdomänen, die Sie hinzufügen möchten, funktionieren.

Es gibt einige Nachteile:
- Ihre Top-Level-Domain ist nicht sicher. Wie in ist das Zertifikat nicht gut für example.com.
- Sie sind sehr teuer, normalerweise um die $ 1k.

Bei Zertifikaten nur für einen Server hängt dies von der Vereinbarung ab, die Sie beim Kauf des Zertifikats getroffen haben. Bei einigen kann das Zertifikat auf mehreren Servern installiert werden, bei anderen nicht. Ich habe auch keine Ahnung, wie oder ob sie überprüfen, ob das Zertifikat nur auf einem einzelnen Server installiert ist. Sie könnten damit durchkommen ...

Wenn Sie einen Load Balancer verwenden, würde ich empfehlen, das Zertifikat dort zu installieren, sofern Ihre Hardware dies zulässt. Ich weiß, dass die Cisco CSS-Serie über ein dediziertes Hardwaremodul verfügt, das die gesamte Ver- und Entschlüsselung übernimmt und Ihren Servern Arbeit erspart.

Chris Henry
quelle
3
Digicert Wildcard SSL kostet 1/2 bis 1/3 dieses Preises und ist flexibel (Multi-Server-Installationen). Wir verwenden sie seit ein paar Jahren und es hat für uns gut geklappt.
JasonBirch
Godaddy.com verkauft Wildcard-Zertifikate für rund 200 US-Dollar pro Jahr. Ich benutze sie seit 3 ​​Jahren und hatte kein Problem damit, dass Browser sie akzeptieren.
Drachenmantel
Digicert-Zertifikate sichern auch die Basisdomäne (dh keine Subdomäne), für die die meisten anderen Anbieter Sie benötigen, um ein zusätzliches Zertifikat für
Gareth
2

Das einzige Problem, das ich bisher bei Wildcard-Zertifikaten gesehen habe, ist, dass sie anscheinend keine haben, die EV unterstützen. Dies ist nur dann wirklich ein Problem, wenn Sie möchten, dass der coole Browser Chrome "Hey, diese Seite ist offiziell in Ordnung und vertikal" sagt. Wenn Sie nur nach einem sicheren Transport suchen und sich nicht um das Vertrauen Ihrer Kunden in den Kauf kümmern, gehen Sie den billigen Weg. Oder kaufen Sie EV für den WWW-Server und Platzhalter für die API.

JasonBirch
quelle
Ich bin damit einverstanden, ich erwarte, dass meine Bank einen EV hat, aber nicht ich
licorna