Certs SSL de vários domínios

Navegue suas respostas
4

Temos um produto (aplicativo PHP hospedado) para o qual forneceremos certificados SSL para as pessoas, além de hospedagem.

Estamos no controle total do ambiente de hospedagem, definindo a configuração do vhost do usuário, a raiz do documento, etc. etc.

Estamos analisando os certificados de vários domínios, o que nos permitiria agrupar muitos dos domínios em um único certificado, o que acabaria salvando os usuários um pouco de dinheiro.

Pelo que entendi, ao adicionar / remover um domínio de um certificado, o antigo precisaria ser revogado e um novo criado - isso é correto?

Qualquer outro lugar tem algum tipo de API para isso?

Este lugar aqui parece mencionar que é bom para o compartilhamento compartilhado, além de lidar com ips individuais. Alguém teve alguma experiência?

link

    
por Wizzard 29.05.2011 / 03:04

2 respostas

1

Eu não recomendaria ir com um certificado de vários domínios (sem falar em comprá-los da Comodo com base no histórico recente de segurança de seus revendedores) devido à revogação e reemissão que você precisaria fazer sempre que assinasse um novo cliente hospedado. Se você tivesse 50 clientes e assinasse um novo, não desejaria impactar esses 50 clientes simplesmente porque você estava adicionando um novo, nem sua equipe de administração de sistemas desejaria modificar mais de 50 configurações de site cada vez que você se inscreveu (ou perdeu ) um cliente.

Acho que seria muito mais útil estruturar seus sites para que o nome do cliente esteja na parte do host de seu domínio. Por exemplo, customer1.yourdomainname.com, customer2.yourdomainname.com, etc.

Você pode querer considerar uma solução pki gerenciada de uma das CAs porque tem muito mais controle sobre o gerenciamento e a manutenção de certificados.

Se você não quiser investir na rota gerenciada do pki, talvez um certificado curinga sirva melhor. A manutenção de certificado ainda é removida do processo de fornecimento do cliente (a menos que sua chave privada para seu certificado curinga seja comprometida, é claro).

Dito isso, não tenho certeza se alguma CAs tem API, mas APIs OpenSSL, NSS, GNU-TLS e JSSE são , portanto, uma boa parte do processo de provisionamento de certificado ainda pode ser roteirizado e / ou automatizado

    
por 30.05.2011 / 19:02
1

Você só precisa revogar um certificado se considerar comprometido. Se você quiser apenas adicionar ou remover nomes, um novo certificado pode ser emitido sem revogar o antigo. O novo certificado pode ser descartado no lugar do antigo e a configuração do servidor web recarregada, sem necessidade de esforço de reconfiguração ou tempo de inatividade.

E se qualquer coisa a cobrar pela emissão deste novo certificado for uma decisão de negócios para a CA individual? Alguns podem tratá-lo como uma "reedição" e fazê-lo de graça, outros não.

Além de custar uma vantagem de ter vários domínios no mesmo certificado, você pode atendê-los a partir do mesmo endereço IP sem depender do SNI.

Como essa pergunta foi postada, "vamos criptografar" apareceu na cena. Eles parecem um bom ajuste para esta aplicação. Eles permitem vários domínios no mesmo certificado. Não cobrar nada e são projetados desde o início para automação.

    
por 12.01.2016 / 17:20

Tags

Como usar o status de apache se a tabela de conexão http estiver cheia? Reconstrua o software RAID1 + LVM após a mudança do SO (do Ubuntu para o CentOS)