web-dev-qa-db-ja.com

マルチサーバー展開にワイルドカード証明書を使用する

現在、サービス用のベータAPIを展開しており、APIからのすべての要求/応答がhttps経由で機能するようにしたいと考えています。 apiwwwの両方のURLにワイルドカード証明書を使用することについて混乱しています。 api.example.comwww.example.comの両方にワイルドカード証明書を使用することをお勧めしますか?ご不便はありませんか?

それらの1サーバーのみの証明書はどうですか? APIをnサーバーにデプロイしているのは、ロードバランサーが前面にあるためです。

11
licorna

この場合、ワイルドカード証明書を使用するのは素晴らしい考えです。個々のドメインの構成をシンプルに保ち、追加するサブドメインが機能することを確認します。

いくつかの欠点があります。
-トップレベルドメインは安全ではありません。同様に、証明書はexample.comには適していません。
-それらは非常に高価で、通常は$ 1k前後です。

1サーバーのみの証明書については、証明書の購入時に行う契約に依存します。複数のサーバーに証明書をインストールできるものもあれば、そうでないものもあります。また、証明書が単一のサーバーにのみインストールされていることをどのように確認するか、または確認するかどうかもわかりません。あなたはそれで逃げることができるかもしれません...

また、ロードバランサーを使用している場合、ハードウェアで許可されている場合は、そこに証明書をインストールすることをお勧めします。 Cisco CSSシリーズには、すべての暗号化と復号化を処理する専用のハードウェアモジュールがあり、サーバーの作業を節約できることがわかっています。

4
Chris Henry

これまでワイルドカード証明書で見た唯一の問題は、EVをサポートする証明書を持っていないように見えることです。これは、クールなブラウザchromeに「ねえ、このサイトは公式にOKであり、正当化されている」と言う場合にのみ本当に心配です。安全な交通手段を探しているだけで、顧客が自信を持って購入することを気にしない場合は、安い方法で行ってください。または、wwwサーバー用にEVを、API用にワイルドカードを購入します。

2
JasonBirch