Sir*_*Don 3 iis ssl iis-7 ssl-certificate
我们的主站点 www.example.com 有一个常规的 VeriSign SSL 证书。但是,我们的开发环境需要 ssl 才能进行准确测试。是否可以为我们的 dev.example.com 和 stage.example.com 域使用来自不同(更便宜)提供商的另一个 ssl?我们有一个具有不同 IP 的负载均衡器,因此拥有唯一 IP 应该不是问题。
这绝对是可能的。我曾与几家公司合作,他们为生产站点购买昂贵的证书(例如扩展验证证书)和更便宜的证书(域验证证书),有时来自不同的证书颁发机构,用于开发和测试目的。
话虽如此,但您可能想以不同的方式处理这个问题,尤其是在考虑“准确测试”的动机时
首先,SSL证书主要提供3件事:
无论您选择哪种 CA,都会提供第一个功能,即加密。由 DigiSign 签名的 2048 位 CSR 提供与由 VeriSign 签名的 2048 位 CSR 一样强大的加密。
第二个特性,完整性,在于连接的性质,即:客户端和可信服务器之间的加密消息交换。因此,如果没有对加密和真实性的信心,就无法实现消息交换的完整性。此外,计算消息摘要以确保消息在加密前和解密后相同
第三个特征,真实性,由颁发 SSL 证书的 CA(例如 VeriSign)和用户(客户端)之间的信任关系决定。这很重要,因为客户端软件可能信任一个 CA 而不是另一个。例如:在移动设备上测试安全的 Web 应用程序。移动设备信任颁发您的“测试”证书的 CA,但是一旦您投入生产,一切都会中断,因为颁发您的生产证书的 CA不受移动设备信任。
一种可能的解决方案(也是我经常推荐的解决方案)是使用通配符证书,一种与通配符子域组件相匹配的证书,例如:*.example.com. 这种方式可以保证www.example.com,analytics.example.com,dev.analytics.com等,都具有相同的证书。
通配符证书非常昂贵,但如果您有几个或更多站点,可能值得您花时间