多个SSL证书可以保护同一个子域吗?
[英]Can multiple ssl certificates protect the same subdomain?
问题描述
我有在www.learningdollars.com和dev.learningdollars.com上运行的弹性beantalk应用程序,并且我在gitlab.learningdollars.com上运行了gitlab ubuntu实例
我当时正在考虑使用AWS ACM,但它似乎仅适用于弹性beantalk应用程序(通过config部分中的负载平衡器),而不适用于gitlab实例。
因此,我在AWS ACM中注册了* .learningdollars.com,并且我正在从godaddy或digicert购买gitlab.learningdollars.com的证书
从技术上讲,AWS ACM证书涵盖* .learningdollars.com,因此涵盖gitlab.learningdollars.com,但我无法访问原始文件,因此无法使用它。
那么我会遇到上述步骤的问题吗?
1 个解决方案
解决方案1
6 已采纳 2016-06-22 08:48:32
嗯,证书只是证书颁发者的声明,其中提到的域名确实属于证书所有者(即您)。 因此,是的,您可以拥有来自不同发行者的同一域名的多个证书。 如果它是完全相同的域名,则发生事件(如“您可以从diglabcert和godaddy获得gitlab.learningdollars.com的独立证书,并且它们都有效”)。
这更像是具有来自不同机构或国家的带照片的身份证。 例如护照和驾驶执照。 拥有一个不会使另一个无效。 因此,浏览器仅验证证书链。 没有人甚至试图检查同一域名是否存在其他证书(实际上,我一般认为这是不可能的)。
从技术上讲正确的情况下,即使从同一颁发者那里获取相交的证书,您也应该小心谨慎,即使在技术上正确的情况下,许多颁发者也会自动使有冲突的证书无效(假设您将使用新证书代替)。
话虽如此,我想澄清一下,您实际上可以仅通过使用Load Balancer来在beantalk之外使用ACM证书。 我发现它的成本大约相当于第三方证书的成本。 但是,这也减轻了我在https安全问题之后的负担(例如,我们查看和更新密码列表或使用更新版本的openssl重建服务器)。 我知道尽管对于一个非常受欢迎的网站,Load Balancer的成本可能要高得多。 所以,你做你的数学。
Amazon Linux上的SSLSetup:SSL错误,提供了多个证书
[英]SSLSetup on Amazon Linux: SSL Error, Multiple certificates provided
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.