Мы планируем создать службу, в которой несколько устройств в разных центрах обработки данных будут разрешать доступ по протоколу HTTPS. Мы планируем приобрести сертификат SSL с подстановочными знаками для обработки любого количества поддоменов.
В первую очередь мы смотрим на SSL-сертификат goDaddy с подстановочными знаками. Кто-нибудь настраивал что-нибудь подобное? Мы изучили предложения Digicert, но хотим найти более дешевые варианты.
Вы также можете создать свой собственный сертификат с подстановочными знаками. Вы не получаете «фирменного наименования» и сопутствующей страховки, но это так же безопасно. Если SSL-соединения не используются широкой публикой и только для вашего собственного использования, я бы рекомендовал это для экономии денег.
Вот черновик процесса (с использованием хранилища ключей), который вы должны взломать для собственного использования. Вам придется научиться делать это самостоятельно, используя в качестве «подсказки» следующее:
:: create authority
openssl req -config %OPENSSL_HOME%\openssl.cfg -new -x509 -extensions v3_ca -keyout %OPENSSL_HOME%\..\demoCA\private\cakey.pem -out %OPENSSL_HOME%\..\demoCA\cacert.pem -days 1096
:: create wildcard cert in keystore, cn name *.site.com
keytool -genkey -alias wildcard -keyalg RSA -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb
:: generate CSR
keytool -certreq -alias wildcard -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -file %OPENSSL_HOME%\..\myCerts\wildcard.csr
:: import CA from previous step into keystore
keytool -import -alias root -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -trustcacerts -file %OPENSSL_HOME%\..\demoCA\cacert.pem
:: sign CSR with CA and convert to DER format
openssl ca -config %OPENSSL_HOME%\openssl.cfg -policy policy_anything -out %OPENSSL_HOME%\..\myCerts\wildcard.crt -infiles %OPENSSL_HOME%\..\myCerts\wildcard.csr
openssl x509 -in %OPENSSL_HOME%\..\myCerts\wildcard.crt -inform PEM -out %OPENSSL_HOME%\..\myCerts\wildcard.der -outform DER
:: import chain of wildcard cert
keytool -import -alias wildcard -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -trustcacerts -file %OPENSSL_HOME%\..\myCerts\wildcard.der
http://www.digicert.com имеет очень гибкое лицензирование, включая неограниченное количество установок в вашем домене для UC и подстановочных знаков. Мы используем их UC на Exchange и переходим с Verisign и Thawte на Digicert для других систем из-за гибкости цен и лицензий. Они также предоставляют 30-дневную пробную версию, в которой они выдают сертификат со сроком действия 30 дней для тестирования ваших систем. Пока они нам отлично подходят.
Мы используем специальные сертификаты GoDaddy для большинства наших сайтов. Все наши сайты размещены на нескольких серверах. После установки сертификата на сервере, который создает CSR, экспортируйте сертификат в файл PFX и импортируйте его на другой сервер. Клиенты не заметят разницы.
GoDaddy знает, что мы это делаем, и никогда не спрашивали нас об этом.
Сертификаты SSL выдаются на основе их домена, а не на основе того, на каком сервере они размещены. С точки зрения клиента важно только то, что домен, используемый для доступа к сертификату, совпадает с доменом самого сертификата.
Для ваших нужд я ожидаю, что любой подстановочный сертификат должен работать. Мне было бы интересно узнать, может ли кто-нибудь предоставить доказательства обратного?
Самый дешевый, который я нашел, - тот из StartSSL. Они взимают плату только за ежегодную проверку, и вы можете иметь столько подстановочных сертификатов для разных доменов, сколько хотите.
Может быть, слишком поздно, но «SSL-сертификаты GlobalSign предоставляются с лицензией на неограниченное количество серверов, включенных в стандартную цену».