Estamos procurando configurar um serviço em que várias caixas, em diferentes data centers, permitiriam o acesso HTTPS. Estamos procurando definir um certificado SSL curinga para lidar com qualquer número de subdomínios de vaidade.
Estamos olhando principalmente para o certificado SSL curinga da goDaddy. Alguém criou algo parecido com isso? Analisamos a oferta da Digicert, mas queremos buscar opções mais baratas.
Usamos os certificados de curinga da GoDaddy para a maioria dos nossos sites. Todos os nossos sites são hospedados por vários servidores. Depois de instalar o certificado no servidor que cria o CSR, exporte o certificado para um arquivo PFX e importe-o para o outro servidor. Os clientes não sabem a diferença.
A GoDaddy sabe que fazemos isso, e eles nunca nos questionaram sobre isso.
link tem licenciamento muito flexível, incluindo instalações ilimitadas em seu domínio para UC e curingas. Usamos sua UC no Exchange e estamos mudando da Verisign e Thawte para a Digicert também para outros sistemas, devido à flexibilidade de preços e licenças. Eles também fornecem uma avaliação de 30 dias, na qual eles emitem um certificado com um período de validade de 30 dias, para testes com seus sistemas. Até agora eles foram ótimos para nós.
Você também pode criar seu próprio certificado curinga. Você não recebe o "nome da marca" e o seguro que o acompanha, mas é igualmente seguro. Se as conexões SSL não forem usadas pelo público em geral e apenas para seu próprio uso, recomendo que você economize dinheiro.
Aqui está um rascunho do processo (usando um Keystore) que você precisa hackear para seu próprio uso. Você teria que aprender como fazê-lo usando o seguinte como uma "dica":
:: create authority
openssl req -config %OPENSSL_HOME%\openssl.cfg -new -x509 -extensions v3_ca -keyout %OPENSSL_HOME%\..\demoCA\private\cakey.pem -out %OPENSSL_HOME%\..\demoCA\cacert.pem -days 1096
:: create wildcard cert in keystore, cn name *.site.com
keytool -genkey -alias wildcard -keyalg RSA -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb
:: generate CSR
keytool -certreq -alias wildcard -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -file %OPENSSL_HOME%\..\myCerts\wildcard.csr
:: import CA from previous step into keystore
keytool -import -alias root -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -trustcacerts -file %OPENSSL_HOME%\..\demoCA\cacert.pem
:: sign CSR with CA and convert to DER format
openssl ca -config %OPENSSL_HOME%\openssl.cfg -policy policy_anything -out %OPENSSL_HOME%\..\myCerts\wildcard.crt -infiles %OPENSSL_HOME%\..\myCerts\wildcard.csr
openssl x509 -in %OPENSSL_HOME%\..\myCerts\wildcard.crt -inform PEM -out %OPENSSL_HOME%\..\myCerts\wildcard.der -outform DER
:: import chain of wildcard cert
keytool -import -alias wildcard -keystore %OPENSSL_HOME%\..\myCerts\keystore.kdb -trustcacerts -file %OPENSSL_HOME%\..\myCerts\wildcard.der
Certificados SSL são emitidos com base em seu domínio, e não em qual servidor os hospeda. Tudo o que importa do ponto de vista do cliente é que o domínio usado para acessar o certificado corresponde ao domínio no próprio certificado.
Para as suas necessidades, espero que qualquer certificado curinga funcione. Eu estaria interessado em ver se alguém pode fornecer provas do contrário?
O mais barato que encontrei é o de StartSSL . Eles cobram apenas pela verificação anual e você pode ter quantos certificados curinga para domínios diferentes desejar.
Talvez um pouco tarde demais, mas "Certificados SSL GlobalSign são fornecidos com licenciamento para um número ilimitado de servidores incluídos no preço padrão."
Tags ssl ssl-certificate wildcard