Sử dụng chứng chỉ ký tự đại diện để triển khai nhiều máy chủ

Hiện tại chúng tôi đang triển khai API beta cho các dịch vụ của mình và chúng tôi muốn tất cả yêu cầu / phản hồi từ API hoạt động trên https. Tôi bối rối về việc sử dụng chứng chỉ ký tự đại diện cho cả hai apivà wwwurl. Có phải là một ý tưởng tốt để sử dụng một chứng chỉ ký tự đại diện cho cả hai api.example.comvà www.example.com? Có bất kỳ sự bất tiện?

Còn những chứng chỉ 1 máy chủ thì sao? Bởi vì tôi đang triển khai API của mình trong n máy chủ với bộ cân bằng tải ở phía trước.

Bạn đã đúng, sử dụng chứng chỉ ký tự đại diện là một ý tưởng tuyệt vời trong trường hợp này. Nó sẽ giữ cấu hình của bạn cho các tên miền riêng biệt đơn giản và đảm bảo rằng mọi tên miền phụ bạn quyết định thêm sẽ hoạt động.

Có một vài nhược điểm:
- Tên miền cấp cao nhất của bạn không an toàn. Như trong, chứng chỉ không tốt cho example.com.
- Chúng rất đắt, thường khoảng $ 1k.

Đối với các certs chỉ có 1 máy chủ, nó phụ thuộc vào thỏa thuận bạn đưa ra khi bạn mua chứng chỉ. Một số sẽ cho phép chứng chỉ được cài đặt trên nhiều máy chủ, một số thì không. Ngoài ra, tôi không biết làm thế nào hoặc nếu họ kiểm tra rằng chứng chỉ chỉ được cài đặt trên một máy chủ. Bạn có thể có thể thoát khỏi nó ...

Ngoài ra, nếu bạn đang sử dụng bộ cân bằng tải, tôi khuyên bạn nên cài đặt chứng chỉ ở đó, nếu phần cứng của bạn cho phép. Tôi biết loạt CSS của Cisco có một mô-đun phần cứng chuyên dụng xử lý tất cả mã hóa và giải mã, tiết kiệm một số công việc cho máy chủ của bạn.

Vấn đề duy nhất mà tôi thấy với các ký tự đại diện cho đến nay là chúng dường như không có bất kỳ hỗ trợ EV nào. Điều này chỉ thực sự là một mối quan tâm nếu bạn muốn trình duyệt chrome tuyệt vời nói rằng "này, trang web này chính thức là OK và được định hướng". Nếu bạn chỉ tìm kiếm vận chuyển an toàn và không quan tâm đến niềm tin mua hàng của khách hàng, hãy đi theo cách rẻ tiền. Hoặc mua EV cho máy chủ www và ký tự đại diện cho API.