it-swarm.com.de

Verwenden von Platzhalterzertifikaten für die Bereitstellung auf mehreren Servern

Derzeit stellen wir eine Beta-API für unsere Dienste bereit und möchten, dass alle Anfragen/Antworten von der API über https funktionieren. Ich bin verwirrt über die Verwendung von Platzhalterzertifikaten für die URLs api und www. Ist es eine gute Idee, ein Platzhalterzertifikat für api.example.com und www.example.com zu verwenden? Gibt es irgendwelche Unannehmlichkeiten?

Was ist mit diesen 1-Server-Zertifikaten? Weil ich meine API auf n Servern mit einem Load Balancer im Vordergrund implementiere.

11
licorna

Sie haben Recht, in diesem Fall ist die Verwendung eines Wildcard-Zertifikats eine gute Idee. Dadurch bleibt Ihre Konfiguration für separate Domänen einfach und es wird sichergestellt, dass alle von Ihnen hinzugefügten Unterdomänen funktionieren.

Es gibt ein paar Nachteile:
- Ihre Top-Level-Domain ist nicht sicher. Wie in ist das Zertifikat nicht für example.com geeignet.
- Sie sind sehr teuer, normalerweise um $ 1k.

Was nur 1-Server-Zertifikate betrifft, hängt es von der Vereinbarung ab, die Sie beim Kauf des Zertifikats getroffen haben. Einige erlauben die Installation des Zertifikats auf mehreren Servern, andere nicht. Ich habe auch keine Ahnung, wie oder ob sie überprüfen, dass das Zertifikat nur auf einem einzelnen Server installiert ist. Sie könnten in der Lage sein, damit durchzukommen ...

Wenn Sie einen Load Balancer verwenden, empfehle ich außerdem, das Zertifikat dort zu installieren, sofern Ihre Hardware dies zulässt. Ich weiß, dass die Cisco CSS-Serie über ein dediziertes Hardwaremodul verfügt, das die gesamte Verschlüsselung und Entschlüsselung übernimmt und so einige Arbeit für Ihre Server spart.

4
Chris Henry

Das einzige Problem, das ich bisher bei Wildcard-Zertifikaten gesehen habe, ist, dass sie offenbar keine EV-Unterstützung bieten. Dies ist nur dann wirklich ein Problem, wenn Sie möchten, dass der coole Browser chrome sagt: "Hey, diese Site ist offiziell in Ordnung und vertifiziert". Wenn Sie nur auf der Suche nach einem sicheren Transport sind und sich nicht um das Vertrauen der Kunden kümmern, wählen Sie den günstigen Weg. Oder kaufen Sie EV für den WWW-Server und Wildcard für die API.

2
JasonBirch