我们使用通配符证书托管我们自己的安全站点。但是,我们正在与一家营销公司合作,该公司在我们的域的子域上提供登陆页面,以及由他们的 isp 提供的 IP 地址。他们可能希望保护这些登录页面。
所以计划可能是允许他们在他们的服务器上使用我们的通配符证书。
- 这是一个好主意吗?
- 为了与其他公司共享而获得另一个证书会更好吗?
- 他们是否应该获得自己的证书,因为它将托管在他们的服务器上,也许只是向我们开具发票费用?
是否应该与托管子域的不同组织共享通配符 ssl 证书?
信息安全
tls
证书
子域
2021-08-19 07:10:33
2个回答
我以前曾在 Marketo 和其他几家公司这样做过。在这些情况下,使用子域构建新的通配符证书并将该证书/密钥对发送给他们。这样,如果它们以某种方式受到损害,您可以撤销该单个证书并删除该子域。这是解决这些问题的一种非常常见的方法。
例子:
- 您现有的通配符:*.company.com
- 对于营销渠道:创建 *.campaign.company.com(给他们这个)
我的警告:与我合作过的任何营销解决方案都没有真正需要完整的通配符来完成他们的工作,而且他们的管理可能只是懒惰。询问他们是否正在寻找特定的名称,在这种情况下,是 SAN 证书。
永远不要让另一家公司针对您的域名建立证书。A) 除非使用可怕的 CA,否则他们可能不会/不应该能够这样做,并且 B) 他们不需要遵循您关于 SSL 的合规性要求。
-追赶
不!您现在已与您无法信任的人共享您的密钥以确保其安全。
是的!这样,如果他们的密钥被泄露或您的密钥被泄露,另一个密钥是安全的,这些系统/信息也是如此。
是的!在这一点上,仍然是您为密钥支付费用,而他们使用它。六个之一,但另一个没有电子邮件。但是,这将是推荐的路线,因为它可以防止您必须以某种方式向他们发送密钥,并且它会在传输过程中丢失/损坏/被盗。