我在www.learningdollars.com和dev.learningdollars.com上运行了弹性beanstalk应用程序,我在gitlab.learningdollars.com上运行了一个gitlab ubuntu实例
我正在考虑使用AWS ACM,但它似乎只适用于弹性beanstalk应用程序(通过配置部分中的负载均衡器)而不是gitlab实例。
所以我在AWS ACM注册了* .learningdollars.com,我从godaddy或digicert购买了gitlab.learningdollars.com的证书
从技术上讲,AWS ACM证书涵盖了* .learningdollars.com,因此它涵盖了gitlab.learningdollars.com但我无法访问原始文件,因此我无法使用它。
因此,我会遇到上述步骤中的任何问题或者它们没问题吗?
答案 0 :(得分:6)
嗯,证书只是证书发行者的声明,提到的域名确实属于证书所有者(即您)。所以,是的,您可以为来自不同发行者的同一域名拥有多个证书。事件,如果它是完全相同的域名(如“你可以从digicert和godaddy获得gitlab.learningdollars.com的独立证书,它们都将是有效的”)。
这更像是来自不同机构或国家的带照片的身份证件。例如护照和驾驶执照。拥有一个不会使另一个无效。 因此,浏览器只验证认证链。甚至没有人试图检查是否存在同一域名的其他证书(事实上,我认为这一点甚至不可能)。
您应该小心获取来自同一发行人的交叉证书,即使这是技术上正确的情况,许多发行人会自动使冲突的证书无效(假设您将使用新证书)。
话虽如此,我想澄清一下,您只需使用Load Balancer就可以在beanstalk之外使用ACM证书。我发现它的成本大致与第三方证书相差无几。但是,在https安全问题(例如我们审查和更新密码列表或使用较新版本的openssl重建服务器)之后,我也需要一些负担。我知道,对于一个非常受欢迎的网站,Load Balancer可能会花费更多。所以,你做数学。