Скажем, у меня есть существующий сертификат с подстановочными знаками (* .example.com) от поставщика A (например, Symantec), лицензированный для 2 серверов.
И теперь я хочу приобрести тот же объект (* .example.com) у поставщика B (например, RapidSSL) для установки в нескольких других местах.
На первый взгляд, это должно работать, но есть ли причина, по которой я не могу это сделать - по лицензионным или техническим причинам?
Мотивация двоякая: среда, в которой устанавливаются существующие групповые сертификаты, чувствительна, и в нее нельзя быстро внести изменения. И, во-вторых, цена на поставщика A, который взимает плату за лицензирование «на сервер», слишком высока для рассматриваемого нами развертывания, в котором будет задействовано много серверов.
На первый взгляд, это должно работать, но есть ли причина, по которой я не могу это сделать - по лицензионным или техническим причинам?
Нет, нет лицензии или технических причин, по которым вы не должны этого делать. Это кажется неуклюжим и неэффективным в долгосрочной перспективе, но я подозреваю, что это краткосрочный эффект, так что дерзайте.
Клиентам все равно, какой ЦС сгенерировал сертификат, пока он находится в их хранилище доверенных сертификатов. Предостережение: если вы сделали что-нибудь, чтобы закрепить ожидаемый сертификат на клиентах, например, как описано в https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning.
Это просто невозможно. Просто потому, что ваш сервер не позволяет устанавливать несколько сертификатов SSL на Единственное доменное имя. Сертификат SSL может быть выдан только на полное доменное имя (часто уточняемое доменное имя).
Давайте разберемся, как на самом деле работает HTTPS.
Шаг 1. Клиент подключается к серверу.
Шаг 2: согласование SSL / TLS (включает обмен сертификатами, проверку сертификата и настройку шифрования)
Шаг 3. Клиент отправляет запрос (включая имя хоста сервера, путь, файлы cookie и т. Д.)
Шаг 4: Сервер отправляет ответ (включая заголовки ответов, контент и т. Д.)
Таким образом, один за другим шаги помогут серверу проверить информацию. Кроме того, PKI (инфраструктура открытых ключей) еще больше усложняет проверку подлинности владельца домена. Обмен конфиденциальной информацией в ИНТЕРНЕТЕ полностью зависит от инфраструктуры открытых ключей. Типичная PKI состоит из оборудования, программного обеспечения, политик и стандартов для управления созданием, администрированием, распространением и отзывом ключей и цифровых сертификатов. Цифровые сертификаты лежат в основе PKI, поскольку они подтверждают идентичность субъекта сертификата и связывают это удостоверение с открытым ключом, содержащимся в сертификате. Читать далее.
Более того, ваша проблема по поводу платы за лицензии на несколько серверов может быть легко решена. Многие центры сертификации (например, Thawte, Comodo) предлагают неограниченные серверные лицензии для своих цифровых сертификатов. Поэтому, если срок действия вашего сертификата истекает в ближайшем будущем, я предлагаю включить другой сертификат SSL, который предлагает неограниченное лицензирование сервера.