Назад | Перейти на главную страницу

Несколько подстановочных сертификатов для одного и того же общего имени на разных серверах

Недавно мы решили использовать облако для размещения ряда веб-сайтов.

На нашем локальном хостинге мы используем групповой сертификат для ряда веб-сайтов, и мы хотим сделать то же самое для наших облачных веб-сайтов (тем более, что балансировщик нагрузки PAAS может размещать только один сертификат). Мы не хотим повторно использовать локальный сертификат в облачном решении, чтобы ограничить среды, на которые может повлиять компрометация сертификата.

Это означало бы, что для одного и того же CN (* .example.com) будет два подстановочных сертификата.

Я нашел несколько веб-страниц о проблемах на устройствах iOS, не поддерживающих несколько сертификатов для одного и того же CN, и поинтересовался, есть ли другие технические ограничения для этого решения.

Да, вы можете использовать два разных сертификата для одного и того же общего имени.

Мы протестировали множество доменов для одного и того же запроса и никогда не обнаружили никаких проблем на устройствах iOS, поэтому 2 разных домена для одного и того же доменного имени будут нормально работать на устройствах iOS.

Если вы используете разные сертификаты с разными именами хостов, проблем возникнуть не должно, даже если сертификаты являются подстановочными. Если вместо этого вы используете разные сертификаты с тем же именем хоста (то есть с другим IP-адресом и сервером, но с тем же именем хоста), вы можете столкнуться с проблемами, потому что эта настройка действительна, но необычна и, по крайней мере, расширение безопасности, такое как Certificate Patrol, вероятно, будет жаловаться.