我正在为公司* .domain.com寻找通配符证书。 我不需要扩展验证。 入门级问题:
我应该购买2级或3级证书吗?主要区别是什么?
我可以在不同的机器(不同的IP)中安装(使用)相同的证书/密钥对吗?有些CA要求使用专用IP作为要求,但我想将SNI用于多个虚拟主机。
总的来说,依靠SNI支持是一个好主意吗?
答案 0 :(得分:0)
我应该购买2级或3级证书吗?主要区别是什么?
不同之处在于中间CA的数量,这无关紧要。不同的CA可能在证书之间存在其他差异,例如生命周期等,但这取决于CA.
我可以在不同的机器(不同的IP)中安装(使用)相同的证书/密钥对吗?一些CA要求专用IP作为要求,但我想将SNI用于多个虚拟主机
对于不同的IP,不同的端口,多台机器等使用相同的证书没有限制,只要所有情况下的主机名都与证书匹配。当然,每台机器都需要访问私钥,因此您可以使用更多机器来增加攻击面。
总的来说,依靠SNI支持是一个好主意吗?
这取决于您需要支持哪种系统。如果您希望只有较新的浏览器作为客户端SNI是可以的。但是,IE8(Windows XP),一些Android应用程序(由于旧版本的Apache HTTP库),旧版本的Java和旧版本的脚本语言(如Python,Perl等)不支持SNI,这些脚本语言通常用于自动执行任务
如果您不仅要将证书用于网络,还要用于邮件,情况可能会更糟。