我们的主网站www.example.com拥有常规的VeriSign SSL证书。 但是,我们需要ssl来为我们的开发环境进行准确的testing。 是否有可能使用另一个(更便宜)提供商的另一个ssl为我们的dev.example.com和stage.example.com域? 我们有一个负载均衡器与不同的IP,所以有独特的IP不应该是一个问题。
这当然是可能的。 我曾与一些为生产站点购买昂贵证书(例如扩展validation证书)的公司以及更便宜的证书(域validation证书)(有时来自不同证书颁发机构)进行开发和testing。
话虽如此,但你可能想要稍稍改变一下,尤其是考虑到“准确testing”的动机
首先,SSL证书主要提供三件事情:
无论您select哪个CA,都会提供第一个function,即encryption。 由DigiSign签署的2048位CSR提供与VeriSign签署的2048位CSR一样的强encryption。
第二个特点,即完整性,在于连接的本质,即:在客户端和受信任的服务器之间进行encryption的消息交换。 所以没有信任encryption和真实性,消息交换的完整性是无法实现的。 此外,计算消息摘要以确保消息在encryption之前和解密之后是相同的
第三个特征是真实性,取决于签发SSL证书的CA(例如VeriSign)和用户(客户)之间的信任关系。 这很重要 ,因为客户端软件可能相信一个CA而不是另一个。 一个例子可能是:在移动设备上testing安全的Web应用程序。 移动设备信任颁发您的“testing”证书的CA.但是一旦您投入生产,所有事情都会中断,因为颁发您的生产证书的CA 不受移动设备的信任。
一个可能的解决scheme(我经常会推荐的解决scheme之一)是使用通配符证书 ,一个匹配通配符子域组件的证书,如: *.example.com
。 通过这种方式,您可以保护www.example.com
, analytics.example.com
, dev.analytics.com
等所有相同的证书。
通配符证书相当昂贵,但如果您拥有less数几个网站或更多,则可能值得您一试
这将取决于你的LBconfiguration和你的networking服务器的select和configuration,但是是应该有可能在每个子域上有不同的证书。