SSL通配符证书

Question

我在寻找*.domain.com公司的通配符证书。我不需要长时间的验证。入门级问题：

• 我应该购买二级或三级证书吗？主要的区别是什么？
• 我可以在不同的机器(不同的I)中安装(使用)相同的证书/密钥对吗？有些CA要求将专用IP作为一种要求，但我希望对多个虚拟主机使用SNI。
• 总的来说，依靠SNI的支持是个好主意吗？

Answer 1

我应该购买二级或三级证书吗？主要的区别是什么？

不同的是中间CA的数量，这不重要。不同的CA在证书之间可能有额外的差异，如生存期等，但这取决于CA。

我可以在不同的机器(不同的I)中安装(使用)相同的证书/密钥对吗？有些CA要求将专用IP作为一种要求，但我希望将SNI用于多个虚拟主机。

对于不同的IP、不同的端口、多台机器使用相同的证书没有限制，只要主机名在所有情况下都与证书匹配。当然，每台机器都需要访问私钥，所以您可以使用更多的机器来增加攻击面。

总的来说，依靠SNI的支持是个好主意吗？

这取决于你需要支持什么样的系统。如果您希望只有较新的浏览器作为客户端，SNI是可以的。但是，IE8 (Windows )、一些安卓应用程序(因为Apache库的旧版本)、旧版本的Java以及以前版本的脚本语言(如Python等)都不支持SNI，它们经常被用于自动化任务。

如果您不仅想将证书用于web，还希望将其用于邮件，则情况可能会更糟。