Posso adquirir dois certificados curinga com o mesmo assunto de dois diferentes fornecedores de CA?

1

Digamos que eu tenha um certificado curinga existente (* .example.com) do Fornecedor A (por exemplo, Symantec) licenciado para 2 servidores.

E agora eu quero comprar o mesmo assunto (* .example.com) do fornecedor B (por exemplo, RapidSSL) para instalação em vários outros locais.

Em face disso, isso deve funcionar, mas existe alguma razão pela qual eu não possa fazer isso - por razões técnicas ou de licenciamento?

A motivação é dupla - o ambiente no qual os certificados curingas existentes estão instalados é sensível e a mudança não pode ser feita rapidamente. E, em segundo lugar, o preço do fornecedor A que cobra o licenciamento "por servidor" é alto demais para a implantação que estamos considerando, o que envolverá muitos servidores.

    
por bkr 23.03.2016 / 18:17

3 respostas

3

On the face of it this should work, but is there any reason I can't do this - for licensing or technical reasons?

Não, não há licença ou motivo técnico para você não fazer isso. Parece desajeitado e ineficaz a longo prazo, mas eu suspeito que isso seja uma coisa de curto prazo, então vá em frente.

    
por 23.03.2016 / 18:22
1

Os clientes não se importam com qual CA gerou um certificado, desde que ele esteja em seu armazenamento confiável. Uma ressalva é se você fez alguma coisa para fixar o certificado esperado nos clientes, como descrito no link .

    
por 23.03.2016 / 19:48
-1

Simplesmente não é possível fazê-lo. Só porque o seu servidor não permitirá a instalação de vários certificados SSL em um único nome de domínio. O certificado SSL só pode ser emitido no FQDN (nome de domínio com qualificação freqüente).

Vamos entender como o HTTPS realmente funciona.

  • Etapa 1: o cliente se conecta ao servidor

  • Etapa 2: Negociação SSL / TLS (inclui a troca de certificados, verificação de certificados e configuração de criptografia)

  • Etapa 3: o cliente envia a solicitação (inclui nome de host do servidor, caminho, cookies etc.)

  • Etapa 4: a resposta de envio do servidor (inclui cabeçalhos de resposta, conteúdo etc.)

Citação: link

Então, uma a uma, as etapas ajudarão o servidor a verificar as informações. Além disso, o PKI (Public Key Infrastructure) torna ainda mais difícil autenticar a identidade da propriedade do domínio. A troca de informações confidenciais na INTERNET é totalmente dependente da infraestrutura de chave pública. Uma PKI típica consiste em hardware, software, políticas e padrões para gerenciar a criação, administração, distribuição e revogação de chaves e certificados digitais. Os certificados digitais estão no centro da PKI, pois afirmam a identidade do assunto do certificado e ligam essa identidade à chave pública contida no certificado. Leia mais .

Além disso, sua preocupação com a cobrança por várias licenças de servidor pode ser facilmente resolvida. Muitas autoridades de certificação (por exemplo, Thawte, Comodo) oferecem licenças de servidor ilimitadas em seus certificados digitais. Portanto, se o seu certificado estiver prestes a expirar no futuro próximo, sugiro que você ative outro certificado SSL que ofereça licenciamento de servidor ilimitado.

    
por 18.04.2016 / 09:06