Существуют ли какие-либо технические / юридические / договорные ограничения на использование сертификата ЦС на нескольких сайтах, работающих на
одиночная машина?
несколько машин?
Или сертификаты будут использоваться для каждого сайта?
Вы можете иметь сертификат на нескольких машинах. Но если «имя сайта» для всех машин не будет одинаковым (например, кластер веб-серверов, обслуживающих один веб-сайт), ваши пользователи получат ошибку несоответствия, поскольку сертификат не будет соответствовать имени сервера, который они запросили.
Вы можете иметь сертификат на одной машине с несколькими сайтами (например, виртуальный хостинг) но у вас будет та же проблема, что и выше.
Если вы обслуживаете несколько «сайтов» с одного сервера и хотите, чтобы пользователи веб-браузеров и т.п. были довольны, вам понадобится несколько сертификатов. и несколько IP-адресов, назначенных хосту. Это связано с тем, что это соединение сертифицировано и зашифровано, и это происходит до того, как клиент сообщит вам, какой сайт ему интересен. Это ограничение текущего протокола SSL. Это ограничение устранено в последней версии протокола, но пока не все его поддерживают.
Обновление, февраль 2017 г .:
С тех пор, как был задан этот вопрос, технологии сильно продвинулись вперед, и я на него ответил. Протокол SSL был улучшен за счет добавления SNI разрешить браузеру подключиться и запросить домен перед обмен сертификатами. Так что вы жестяная банка теперь несколько веб-сайтов обслуживаются с помощью SSL с одного сервера с одним IP-адресом. SNI почти повсеместно поддерживается всеми браузерами, поэтому вы можете быть уверены, что ваши сайты будут доступны для пользователей. Вы также можете объединить несколько имен сайтов в один сертификат либо с помощью подстановочных знаков, например «* .stackexchange.com», либо с помощью «Альтернативных имен субъектов сертификата», что и делает stackexchange, если вы проверяете сертификат ssl на этом сайте ..
Еще лучшая новость в том, что теперь у нас есть Letsencrypt мы все можем получить наши сертификаты бесплатно, если вам просто нужна поддержка шифрования и не требуется расширенная проверка. И пусть encrypt поддерживает альтернативные имена.
Я нашел ответ на Verisign Вот который предусматривает, что один сертификат не может использоваться на нескольких серверах без специальной лицензии, что отвечает моим множественный вопрос.
Я предполагаю, что это означает, что нет проблем с его использованием на нескольких сайтах, если все они находятся на одной машине.
Это также может быть специфическим для CA.
Вы можете использовать сертификат унифицированных коммуникаций. Это позволяет вам добавлять в сертификат несколько альтернативных имен субъектов. Вы можете установить этот сертификат на несколько серверов для нескольких доменных имен. У вас может быть один сертификат на:
server1.blah.com
server2.blah.com
www.blah.com
www.notblah.com
Первоначально они были представлены для использования с Exchange 2007 и Communication Server, но могут использоваться и для других серверов. Дополнительная информация от поставщика сертификатов SSL:
Digicert uc ssl-страница сертификата
Доверьте страницу сертификата uc ssl
Существуют также сертификаты с подстановочными знаками, но я знаю о них меньше, они могут работать и для ваших целей.