Я создаю сервис в Azure. Право сейчас у меня 2 сервера
Worker-1 выполняет http, ftp и несколько сервисов .exe, которые работают круглосуточно. И DC, и Worker являются частью домена .com, который я создал.
Мне нужно было защитить некоторые службы HTTPS на Worker-1, поэтому у меня есть SSL-сертификат с подтвержденным доменом. Теперь мне нужно защитить эту FTP-службу, которая тоже работает ...
1) Могу ли я использовать тот же сертификат или мне нужно получить другой «подтвержденный домен» для ftp.foo.com (ftp)?
2) Получение подстановочного SSL-сертификата решает проблему выше, при которой я могу защитить как (и даже больше) ftps: //asd1.foo.com и https://foo.com?
Обратите внимание на 1), поскольку два простых сертификата дешевле, чем подстановочный знак, поэтому на данный момент это может быть лучшим экономичным решением.
3) Что, если я переместил службу FTPS на другой сервер? Если я создам Worker-2 и настрою на нем сервис FTPS. Могу ли я использовать тот же сертификат? Думаю, мне здесь хотя бы нужен подстановочный знак, так как https все еще работает на Worker-1.
Или мне в этом случае нужен сертификат «Организация проверена»? Я понимаю, что существует три типа сертификатов DV, OV и EV. Могу я в 3) просто добавить сертификаты в Active Directory, и все волшебным образом заработает? :) Принятие желаемого за действительное, я не уверен, как сертификаты работают между серверами в домене.
Технически нет большой разницы между DV, OV и EV. Это всего лишь сертификаты SSL, назначенные определенному имени субъекта или группе имен.
Нет ничего плохого в использовании одного сертификата на нескольких серверах, если сертификат охватывает имена субъектов, которые вы используете. Если в вашем существующем сертификате нет ftp.domain.com в списке, вы не можете использовать его для этого имени хоста.
Самый простой вариант, если у вас уже есть сертификат для domain.com, - просто получить еще один для ftp.domain.com.
Вы также можете получить сертификат SAN, который охватывает несколько имен. В сертификате есть список альтернативных имен, ftp.domain.com, mail.domain.com и т. Д. Провайдер, который я использую, продает сертификаты, которые покрывают до 5 имен, но не более одного. (Имя SAN происходит из поля, содержащего эти имена внутри сертификата - «Альтернативные имена субъектов». Вы можете просмотреть их в свойствах сертификата)
Подстановочный сертификат также должен работать - хотя убедитесь, что он действительно охватывает домен «domain.com», а не только «something.domain.com». Это, вероятно, дороже, чем сертификат SAN, но дает вам возможность настроить someservice.domain.com в будущем и использовать существующий сертификат.