Joseph Asked: 2009-05-01 08:23:29 +0800 CST2009-05-01 08:23:29 +0800 CST 2009-05-01 08:23:29 +0800 CST 我可以在多个站点上使用受信任的 CA 证书吗? 772 在多个站点上运行 CA 证书是否存在任何技术/法律/合同限制? 单机? 多台机器? 还是要在每个站点上使用证书? certificate 3 个回答 Voted Best Answer Vagnerr 2009-05-01T08:54:11+08:002009-05-01T08:54:11+08:00 您可以在多台机器上拥有一个证书。但是,除非所有机器的“站点名称”都相同(例如,一组 Web 服务器都为一个网站服务),否则您的用户将收到不匹配错误,因为证书与他们请求的服务器名称不匹配。 您可以在具有多个站点(例如虚拟主机)的单台机器上拥有证书,但您将遇到与上述相同的问题。 如果您从单个服务器为多个“站点”提供服务,并希望用户 Web 浏览器等满意,您将需要分配给主机的多个证书和多个 IP 地址。这是因为它是经过认证和加密的连接,这发生在客户端告诉您它感兴趣的站点之前。这是当前 SSL 协议的局限性。最新协议中解决了此限制,但并非所有内容都支持该限制。 2017 年 2 月更新: 自从提出这个问题以来,技术已经取得了相当大的进步,我回答了这个问题。SSL 协议已通过添加SNI得到改进,允许浏览器在证书交换之前连接并请求域。因此,您现在可以从具有单个 IP 地址的单个服务器使用 SSL 提供多个网站。SNI 几乎得到所有浏览器的普遍支持,因此您可以确信您的网站可供用户访问。您还可以使用通配符将多个站点名称组合到一个证书中,例如“*.stackexchange.com”并使用“证书主题替代名称”,如果您在此站点上签出 ssl 证书,stackexchange 正在执行此操作。 更好的消息是,现在我们有了letsencrypt,如果您只需要加密支持并且不需要扩展验证,我们都可以免费获得我们的证书。并且让 encrypt 确实支持 alt 名称。 Joseph 2009-05-01T08:25:33+08:002009-05-01T08:25:33+08:00 我在 Verisign here上找到了一个答案,该答案规定如果没有特殊许可证,一个证书不能在多个服务器上使用,这回答了我的多个问题。 我假设这意味着只要它们都在一台机器上,在多个站点上使用它就没有问题。 这也可能特定于 CA。 Leroy Clark 2009-05-08T19:57:05+08:002009-05-08T19:57:05+08:00 您可以使用统一通信证书。它允许您在证书上添加多个主题备用名称。您可以在多个服务器上为多个域名安装此证书。您可以拥有一份证书: server1.blah.com server2.blah.com www.blah.com www.notblah.com 它们最初是为与 Exchange 2007 和 Communication Server 一起使用而引入的,但也可用于其他服务器。来自 ssl 证书供应商的更多信息: Digicert uc ssl 证书页面 委托 uc ssl 证书页面 还有通配符证书,但我对这些知之甚少,它们也可能适用于您的目的。
您可以在多台机器上拥有一个证书。但是,除非所有机器的“站点名称”都相同(例如,一组 Web 服务器都为一个网站服务),否则您的用户将收到不匹配错误,因为证书与他们请求的服务器名称不匹配。
您可以在具有多个站点(例如虚拟主机)的单台机器上拥有证书,但您将遇到与上述相同的问题。
如果您从单个服务器为多个“站点”提供服务,并希望用户 Web 浏览器等满意,您将需要分配给主机的多个证书和多个 IP 地址。这是因为它是经过认证和加密的连接,这发生在客户端告诉您它感兴趣的站点之前。这是当前 SSL 协议的局限性。最新协议中解决了此限制,但并非所有内容都支持该限制。
2017 年 2 月更新:
自从提出这个问题以来,技术已经取得了相当大的进步,我回答了这个问题。SSL 协议已通过添加SNI得到改进,允许浏览器在证书交换之前连接并请求域。因此,您现在可以从具有单个 IP 地址的单个服务器使用 SSL 提供多个网站。SNI 几乎得到所有浏览器的普遍支持,因此您可以确信您的网站可供用户访问。您还可以使用通配符将多个站点名称组合到一个证书中,例如“*.stackexchange.com”并使用“证书主题替代名称”,如果您在此站点上签出 ssl 证书,stackexchange 正在执行此操作。
更好的消息是,现在我们有了letsencrypt,如果您只需要加密支持并且不需要扩展验证,我们都可以免费获得我们的证书。并且让 encrypt 确实支持 alt 名称。
我在 Verisign here上找到了一个答案,该答案规定如果没有特殊许可证,一个证书不能在多个服务器上使用,这回答了我的多个问题。
我假设这意味着只要它们都在一台机器上,在多个站点上使用它就没有问题。
这也可能特定于 CA。
您可以使用统一通信证书。它允许您在证书上添加多个主题备用名称。您可以在多个服务器上为多个域名安装此证书。您可以拥有一份证书:
server1.blah.com
server2.blah.com
www.blah.com
www.notblah.com
它们最初是为与 Exchange 2007 和 Communication Server 一起使用而引入的,但也可用于其他服务器。来自 ssl 证书供应商的更多信息:
Digicert uc ssl 证书页面
委托 uc ssl 证书页面
还有通配符证书,但我对这些知之甚少,它们也可能适用于您的目的。