У меня много веб-сайтов, разбросанных по разным серверам IIS, но все они доступны через Название сайта.example.co.uk. то есть site1.example.co.uk
Кстати, это только пример, поэтому я могу разобраться с сертификатами SSL, поэтому все они самоподписаны с помощью следующего процесса
http://datacenteroverlords.com/2012/03/01/creating-your-own-ssl-certificate-authority/
Сертификат, полученный на шаге 3, присваивается * .example.co.uk. Можно ли это использовать на нескольких серверах, или мне нужно создать новый сертификат + ключ для каждого сервера, несмотря на то, что они соответствуют домену в сертификате?
Сертификат представляет собой открытый ключ, подписанный третьей стороной, и его может использовать любой, у кого есть соответствующий закрытый ключ. Итак, пока вы даете каждому серверу соответствующий закрытый ключ, он может использовать сертификат.
Но если вы делаете свой собственный CA, зачем беспокоиться? Вы можете создавать сертификаты для каждого сервера, и они будут пользоваться не меньшим (и не большим) доверием, чем один сертификат, подписанный частным ЦС, который вы предлагаете использовать повсюду, и у вас будет меньше проблем с сохранением одного частного сертификата. ключ защищен путем распространения и использования на многих конечных точках.
Нет никаких технических причин, по которым вы не можете использовать подстановочный SSL-сертификат для * .example.co.uk на любом количестве серверов, чьи доменные имена соответствуют подстановочному знаку. Но у некоторых издателей сертификатов есть коммерческие условия и положения, ограничивающие количество серверов, на которых можно использовать сертификат. Это не технический предел, и сертификат будет работать на любом количестве серверов; вы просто нарушите свой контракт с ними, если вы используете его на большем количестве серверов, чем вы согласовали. Конечно, это не относится к вашим самозаверяющим сертификатам, которые вы используете для тестирования, но может, когда вы дойдете до фактического получения сертификата, подписанного доверенным центром сертификации.
Нет ничего технически запрещающего вам устанавливать данный сертификат на нескольких машинах. Однако, если вы приобретали сертификат в коммерческом центре сертификации, то лицензионное соглашение, вероятно, требует, чтобы вы платили за каждый сервер, даже если установлен один и тот же сертификат.
Я считаю, что некоторые стандарты безопасности / корпоративные стандарты не рекомендуют использовать высокоуровневые сертификаты с подстановочными знаками (так что не * .example.co.uk, но, возможно, * .somespecificapp.example.co.uk), чтобы минимизировать ущерб в случае утечки сертификата.
Возможным стимулом для установки одного и того же ключа cert + на всех машинах является использование закрепления сертификатов (https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning/Certificate_and_Public_Key_Pinning)