Назад | Перейти на главную страницу

Могу ли я использовать один и тот же сертификат SSL в CDN и источнике?

Это довольно простой вопрос, у меня есть сертификат, выданный DigiCert, я уже установил его в моем источнике, и я хочу использовать его для CDN.

Я начинаю настраивать Akamai CDN перед своим источником, но они говорят, что купят для меня сертификат, который будет установлен на их узлах, и мне интересно, почему они не будут использовать тот же сертификат, что и у меня.

Я нашел в CloudFlare возможность загрузить свой собственный сертификат, но еще не тестировал его, поэтому не уверен, будет ли он там работать.

Есть ли у кого-нибудь опыт работы с любым из этих CDN или техническое объяснение того, почему, если это действительно невозможно?

Большинство веб-сайтов, использующих CDN, используют субдомен (например, cdn.yourwebsite.com) для доставки статических ресурсов из. Это означает, что для доставки активов CDN через SSL вам понадобится сертификат для поддомена cdn.

Если у вас уже есть сертификат SSL, установленный на вашем источнике, вполне вероятно, что он действителен для yourwebsite.com и www.yourwebsite.com, но не cdn.yourwebsite.com

Поэтому у вас есть несколько вариантов:

  • Приобретите SSL-сертификат для cdn.yourwebsite.com
  • Приобретите подстановочный сертификат, действительный для * .yourwebsite.com
  • Используйте CDN, который поддерживает Lets Encrypt и предоставляет вам бесплатный SSL-сертификат для вашего поддомена cdn.

Я бы порекомендовал взглянуть на cdncomparison для получения дополнительной информации о различиях, существующих между популярными поставщиками CDN.

Я использую другой CDN (CloudFront), и у меня одинаковый сертификат как для CDN, так и для источника. Я предполагаю, что Akamai также пересылает заголовок HOST источнику, поэтому, если он соответствует вашему сертификату, все будет в порядке.

Я предполагаю, что вам нужно настроить такие вещи:

  • Убедитесь, что запись DNS, указывающая на ваш CDN, соответствует сертификату, который вы настроили в Akamai.
  • Akamai перешлет запрос вашему источнику, не затрагивая заголовок HOST.
  • Ваш источник проверит заголовок HOST с сертификатом SSL, с которым он был настроен.

У Akamai странная система предоставления сертификатов (CPS), она может быть очень запутанной. Они не позволят вам загрузить им сертификат. Однако вы можете работать в обратном порядке, создав CSR в Akamai CPS (как сторонний сертификат), перенести его в свой центр сертификации, заполнить в Akamai, а затем импортировать этот сертификат в свой источник.

Примечание: при заполнении CSR вы должны убедиться, что вы правильно сделали заказ, иначе он аннулирует этот запрос, и вам придется получить другой сертификат.