可以在不同的 IP 地址和/或盒子上使用相同的通配符 SSL 证书吗？

Question

例子：

*.example.com 的通配符 SSL 证书安装在两个不同的盒子上。

hostEU.example.com  A  60.70.80.90
hostUS.example.com  A  200.210.220.240

我认为这是一个完全有效的场景，其中实际的主机名不在同一个 IP 上（或者甚至不在同一个盒子上）。

我的假设正确吗？

Answer 1

是的，对此没有技术限制；除非您的 CA 明确禁止这种使用。

CA 给出的最常见限制是在“物理服务器”上，但可能有人甚至在 IP 基础上进行限制。

如果您需要跨越多个物理服务器的通配符证书，您可以购买额外的许可证。

你能举一个真实世界的例子，说明一个 CA 有效地禁止在多个 IP 地址上使用通配符证书吗？ (5认同)
Pfft，告诉他们将他们的 ToS 充实到他们的集体基础中。荒谬和不适当的限制ftl。 (5认同)
@womble，我认为没有人不同意。在许多方面，整个 SSL 证书系统都是一个骗局。（http://blogs.techrepublic.com/security/?p=2550） (3认同)
我认为我没有看到任何提及多个 IP 地址的内容，但是我看到了几个示例，其中在多个“服务器”上安装证书违反了 TOS。我没有专门检查通配符 TOS。有关绑定到一个“服务器”的示例，请参阅 Geotrust QuickSSL 证书。 (2认同)
即使被CA禁止，他们真的能查到吗？如果是这样，他们可以做什么，撤销它？ (2认同)