Використання сертифікатів підстановки для розгортання на декількох серверах

В даний час ми розгортаємо бета-версію API для наших послуг і хочемо, щоб усі запити / відповіді від API працювали на https. Мене бентежить використання сертифікатів підстановки для обох apiі wwwURL-адрес. Чи корисно використовувати сертифікат підстановки для обох api.example.comі www.example.com? Чи є незручності?

Що з тими сертифікатами, що містять лише 1 сервер? Тому що я розгортаю свій API на n серверах з балансиром навантаження спереду.

Ви маєте рацію, використання в цій справі прекрасної ідеї - це велика ідея. Це дозволить зберегти вашу конфігурацію для окремих доменів простою та забезпечить спрацювання будь-яких піддоменів, які ви вирішили додати.

Є кілька недоліків:
- Ваш домен верхнього рівня не захищений. Як і в, сертифікат не годиться example.com.
- Вони дуже дорогі, як правило, близько $ 1 тис.

Що стосується сертів лише для одного сервера, це залежить від угоди, яку ви укладаєте при покупці сертифікату. Деякі дозволять встановити cert на декілька серверів, деякі - не. Крім того, я не маю уявлення, як чи якщо вони перевіряють, чи встановлено cert лише на одному сервері. Ви, можливо, зможете піти з цим ...

Крім того, якщо ви використовуєте балансир навантаження, я рекомендую встановити cert там, якщо ваше обладнання дозволяє це. Я знаю, що у серії Cisco CSS є спеціальний апаратний модуль, який обробляє все шифрування та дешифрування, економлячи деяку роботу для ваших серверів.

Єдиною проблемою, яку я бачив із сертифікатами wildcard, є те, що у них, здається, немає таких, які б підтримували EV. Це викликає особливе занепокоєння, якщо ви хочете, щоб крутий хром браузера сказав: "Ей, цей сайт офіційно добре і підтверджений". Якщо ви шукаєте лише безпечний транспорт і не піклуєтесь про впевненість покупців, йдіть дешевим шляхом. Або придбайте EV для сервера www та підстановку для API.