複数のサイトで信頼できるCA証明書を使用できますか?
で実行されている複数のサイトでCA証明書を使用することには、技術的/法的/契約上の制限がありますか?
単一のマシン?
複数のマシン?
または、証明書はサイトごとに使用されますか?
複数のマシンで証明書を持つことができます。ただし、すべてのマシンの「サイト名」が同じでない限り(たとえば、すべてが1つのWebサイトにサービスを提供するWebサーバーのクラスター)、証明書が要求したサーバー名と一致しないため、ユーザーは不一致エラーを受け取ります。
複数のサイト(仮想ホスティングなど)(== --- ==)を備えた単一のマシンで証明書を持つことができますが、上記と同じ問題が発生します。
単一のサーバーから複数の「サイト」にサービスを提供していて、ユーザーのWebブラウザーなどを満足させたい場合は、複数の証明書および複数のIPアドレスが必要になります。ホストに割り当てられます。これは、認証および暗号化されるのは接続であり、これは、クライアントが関心のあるサイトを通知する前に発生するためです。これは、現在のSSLプロトコルの制限です。この制限は最新のプロトコルで対処されていますが、まだすべてがそれをサポートしているわけではありません。
2017年2月の更新:
この質問が出されて以来、テクノロジーはかなり進んでおり、私はそれに答えました。 SSLプロトコルが改善され、 [〜#〜] sni [〜#〜] が追加され、ブラウザが接続してドメインを要求できるようになりましたbefore証明書交換。したがって、canは、単一のIPアドレスを持つ単一のサーバーからSSLで提供される複数のWebサイトを持つことができます。 SNIはほぼすべてのブラウザーでサポートされているため、ユーザーが自分のサイトにアクセスできることを確信できます。 「* .stackexchange.com」などのワイルドカードを使用し、このサイトでssl証明書をチェックアウトした場合にstackexchangeが実行する「CertificateSubject Alt Names」を使用して、複数のサイト名を1つの証明書に結合することもできます。
さらに良いニュースは、暗号化のサポートが必要で、拡張検証が必要ない場合は、 letsencrypt すべての証明書を無料で入手できることです。そして、encryptはalt名をサポートします。
Verisign here で、特別なライセンスがないと単一の証明書を複数のサーバーで使用できないことを規定する回答を見つけました。これは、私のmultiple質問。
これは、すべてが1台のマシン上にある限り、複数のサイトで使用しても問題がないことを意味すると思います。
これは、CAに固有の場合もあります。
ユニファイドコミュニケーション証明書を使用できます。これにより、証明書に複数のサブジェクト代替名を追加できます。この証明書は、複数のドメイン名の複数のサーバーにインストールできます。次の証明書を1つ持つことができます。
server1.blah.com
server2.blah.com
www.blah.com
www.notblah.com
これらは元々Exchange2007およびCommunicationServerで使用するために導入されましたが、他のサーバーで使用することもできます。 SSL証明書ベンダーからの詳細情報:
ワイルドカード証明書もありますが、私はそれらについてあまり知りません。それらはあなたの目的にも役立つかもしれません。