通配符证书使用

Question

我使用SSL证书已经有一段时间了，我的组织正在考虑使用通配符证书来对抗我们现在拥有的多域san证书。我需要知道的是，为什么我们不应该走通配符证书路线？我知道他们是怎么工作的，但我得把这个卖给他们。我知道它的优点和缺点。

我一直在研究为什么不使用的原因，唯一的缺点，我能真正找到的是相同的一个网站或个人说，“如果.key被破坏，那么WCS是。”我需要一个更好的理由，为什么不使用它，那么，因为多域是相同的方式.key明智。我们已经并可以采取措施，使这一进程更加安全。

我们所要做的是从一个拥有数百个SAN的UC多域开始，然后用通配符将其分解。这也将在NetScaler SDX 11500中运行。我不是一个大NetScaler的人，但我理解它。如果启用SNI，可以加载不同的证书和密钥吗？

你知道有更多的步骤让它更安全吗？谢谢

Answer 1

它不是一个或者，除非你把它变成一个或者，或者你的证书转卖商在上面。

SNI的一个缺点是旧设备不支持SNI。在不支持SNI的情况下，它们会进入设备上的默认绑定。

具体来说，通配符证书保护单个级别的子域，例如：

*.example.com

将覆盖

foo.example.com
bar.example.com
autodiscover.example.com

它不会覆盖

foo.bar.example.com
autodiscover.example.net

因此，如果您需要覆盖的每个域都是给定域下的一个级别，那么通配符无疑是一种简单而廉价的方法。

带有can的证书允许您覆盖尽可能多的不同域。它甚至可以在SAN中包含通配符，因此您可以拥有：

*.example.com
*.example.net
*.example.org

都在一张证书里。只需查看该站点的证书：

您可能希望使证书链保持较小，以便可以在单个数据包中交换整个证书&链。根据证书链的长度，这可能会限制在一个证书超出边界之前可以放入的SAN的数量。

正如您正确地指出的，通配符或SAN也存在相同的安全问题。真正的问题在于你需要什么，什么对你来说更容易维护。

如果您可以支持数十个单独的证书，并且乐于使用SNI (以及潜在的陷阱)，那么就这样做。如果您不想使用SNI，或者不想管理数十个证书，那么可以使用通配符和/或SAN，然后采取相应的折衷方法。

没有正确或错误的答案，只有对你有用的东西。

Answer 2

在我们的环境中，通配符证书的主要问题是在第三级域上使用它的问题，这是完全不可能的，例如*.domain.tld是可以的，*.second.domain.tld是不行的。

Answer 3

通配符证书的唯一问题是Microsoft 2013，它不支持某些服务的通配符证书，因为客户端使用的证书验证不适用通配符。我不确定最新版本的Lync 2016 (也叫Skype for business)是否仍然有这样的限制，或者确切地说，为什么有这个限制--大概是一些安全措施。