Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Ilo

https://www.debian.pl/viewtopic.php?t=22821

Strona 1 z 1

[+] Ilość wymaganych certyfikatów SSL

: 26 kwietnia 2011, 12:17
autor: michalko
Szperam po sieci już któryś dzień w poszukiwaniu informacji o certyfikatach SSL, ale nie znajduję odpowiedzi na nurtujące mnie pytania. Może źle szukam?
  1. Mam domenę i 2 subdomeny w niej, na których chciałbym aby działało SSL. Czy muszę wygenerować 3 osobne certyfikaty, czy mogę używać jednego na wszystkich trzech pozycjach? Np. nazwa.pl na moje oko używa jednego certyfikatu w obrębie wszystkich subdomen, na których działa SSL mając:

    Kod: Zaznacz cały

     CN = *.nazwa.pl
    np. tu:

    Kod: Zaznacz cały

    https://admin.nazwa.pl/

    Kod: Zaznacz cały

    https://poczta.nazwa.pl/
    Czy takie rozwiązanie jest prawidłowe, czy to tylko zredukowanie kosztów zakupu certyfikatów?
  2. Od jakiegoś czasu "www" w adresach wyszło z mody. Wygenerowałem certyfikat dla:

    Kod: Zaznacz cały

    CN = example.com
    Jednak są dalej zagorzali użytkownicy "www" i wklepują to www przed każdym adresem. Czy w tym momencie powinienem utworzyć kolejny certyfikat, który będzie miał:

    Kod: Zaznacz cały

    CN = www.example.com
  3. Czy różne usługi (np. Apache i Courier) mogą korzystać z tych samych certyfikatów? Tzn. praktycznie wymusić można, tylko czy ma to ręcę i nogi?
Proszę o pomoc.

: 26 kwietnia 2011, 22:35
autor: mendeczka
Więc tak:
Ad1. Czy takie rozwiązanie jest prawidłowe? - Jedni powiedzą że tak a inni że nie. Jest to jakaś redukcja kosztów :) . Wszystko zależy od administratora obsługującego dany serwer. Osobiście nie mam problemu z wygenerowaniem certyfikatów dla apache2 czy postfixa itp. Mam porządek lecz też muszę zwracać uwagę na termin wygaśnięcia tych certyfikatów.

Ad2. Osobiście nie widzę takiej potrzeby, bez problemu możesz w konfiguracji virtualhost wrzucić przekierowanie na stronę bez www (jedno rozwiązanie). Jeżeli jednak pod tym adresem jest inna strona to osobiście bym wygenerował.

Ad3. Patrz punkty wyżej.

Reasumując wszystko zależy od Administratora. Osobiście lubię porządek, jeżeli patrzysz na koszty to sugeruję wygenerować osobiście certyfikaty i je podpisać. Trwa to chwilę. Oddzielne dla poczty i www :)

: 29 kwietnia 2011, 00:25
autor: michalko
Wielkie podziękowania za rozjaśnienie sprawy. Przemyślę ile i do jakich usług kupić certyfikaty, a gdzie zostawić samopodpisane.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl