На нашем основном сайте www.example.com есть обычный сертификат VeriSign SSL. Однако нам нужен ssl для нашей среды разработки для точного тестирования. Можно ли использовать другой ssl от другого (более дешевого) провайдера для наших доменов dev.example.com и stage.example.com? У нас есть балансировщик нагрузки с разными IP-адресами, поэтому наличие уникального IP-адреса не должно быть проблемой.
Это, безусловно, возможно. Я работал с несколькими компаниями, которые покупают дорогие сертификаты (например, сертификаты расширенной проверки) для производственных сайтов и более дешевые сертификаты (сертификаты с проверкой домена), иногда от разных центров сертификации, для целей разработки и тестирования.
При этом вы можете подойти к этому немного иначе, особенно если учесть мотив "точного тестирования".
Во-первых, SSL-сертификаты предоставляют в первую очередь 3 вещи:
Первая функция - шифрование - предоставляется независимо от того, какой CA вы выберете. 2048-битный CSR, подписанный DigiSign, обеспечивает такое же надежное шифрование, как 2048-битный CSR, подписанный VeriSign.
Вторая особенность, целостность, заложена в самой природе соединения, а именно: обмен зашифрованными сообщениями между клиентом и доверенным сервером. Таким образом, без уверенности в шифровании и аутентичности целостность обмена сообщениями не может быть достигнута. Кроме того, дайджест сообщения рассчитывается для обеспечения того, чтобы сообщение было одинаковым до шифрования и после дешифрования.
Третья характеристика, аутентичность, определяется доверительными отношениями между центром сертификации, выдавшим ваш сертификат SSL (например, VeriSign), и пользователем (клиентом). Это важно, поскольку клиентское программное обеспечение может доверять одному ЦС, но не доверять другому. Примером может быть: тестирование безопасного веб-приложения на мобильном устройстве. Мобильное устройство доверяет ЦС, выдавшему ваш "тестовый" сертификат, но как только вы перейдете в производство, все сломается, потому что ЦС, выдавший ваш производственный сертификат, не доверяет мобильному устройству.
Возможное решение (и то, что я часто рекомендую) - это использование подстановочные сертификаты, сертификат, соответствующий компоненту поддомена с подстановочными знаками, например: *.example.com. Таким образом вы можете защитить www.example.com, analytics.example.com, dev.analytics.com и т.д., все с одним сертификатом.
Подстановочные сертификаты довольно дороги, но если у вас несколько сайтов или больше, это может стоить вашего времени.
Это будет зависеть от вашей конфигурации LB и вашего выбора и конфигурации веб-сервера, но да, должно быть возможно иметь разные сертификаты на каждом поддомене.